新たに特定された情報窃取型マルウェアは、正規のAPIとサードパーティ製ライブラリに依存し、回避性と持続性を備えたデータ収集および流出を行うと、サイバーセキュリティ企業Cyfirmaが報告している。
SolyxImmortalと名付けられたこのマルウェアはPythonで書かれており、認証情報や文書の収集、キーロガー、画面監視など、広範なデータ窃取およびユーザー監視機能を備えている。
Cyfirmaによると、SolyxImmortalはWindowsシステムを標的とするモノリシックなPythonアプリケーションで、並行して監視およびデータ収集スレッドを起動できる。
このマルウェアはバックグラウンドで静かに動作し、自己拡散機能は持たず、認証やその他の高価値なユーザー操作を継続的に監視してアラートを出すことに注力している。
SolyxImmortalには、永続化、収集、監視を確立する中央コントローラがあり、悪意ある挙動はすべてハードコードされている。
コマンド&コントロール(C&C)パラメータもハードコードされている。この情報窃取型マルウェアはDiscordのWebhookを2つ使用し、1つは構造化データの流出用、もう1つはスクリーンショット送信用で、同サービスのHTTPSの安全性と評判を利用してネットワークベースの検知を回避している。
Cyfirmaは「ハードコードされたDiscordユーザーIDを組み込むことで、オペレーターへの直接メンションが可能になり、高価値イベントが即時通知を生成することが保証される」と指摘している。
このマルウェアは自身をユーザーのAppDataパス内のディレクトリにコピーして実行ファイル名を変更し、隠し属性およびシステム保護としてマークする。また、ユーザーのRunキーに登録し、ユーザーログオン時に実行されるようにする。
データ窃取・監視機能
SolyxImmortalはChromeおよびその他のChromium系ブラウザから認証情報を窃取でき、Local Stateファイルを標的にしてブラウザのマスター暗号化キーを抽出し、ログイン情報のエントリを復号する。
Cyfirmaは「回収された認証情報は流出前に平文形式で集約されており、窃取データに対するローカルでの暗号化や難読化がないことを示している」と指摘している。
この脅威はさらに、ユーザーのホームディレクトリを列挙して関心のある文書を特定し、拡張子とサイズに基づいてフィルタリングする。収集されたデータはすべて一時ディレクトリにステージングされ、圧縮されたうえで流出させられる。
さらに、この情報窃取型マルウェアは取得したキーストロークをメモリ内バッファに保存し、専用のバックグラウンドスレッドを用いて定期的に流出させる。
また、アクティブウィンドウを監視し、そのタイトルを事前定義されたリスト(認証および金融操作を標的)と照合し、一致を特定するとスクリーンショットを撮影する。各スクリーンショットは直ちに専用のDiscord Webhookへ送信される。
Cyfirmaは「イベント駆動のキャプチャに加え、固定間隔で定期的にスクリーンショットが撮影されるため、トリガーとなるキーワードがない場合でも継続的な視覚監視が可能になる」と説明している。
HTTPSのPOSTリクエストでステージングされたデータの流出に成功すると、マルウェアはすべての一時ファイルとディレクトリを消去する。
機会主義的攻撃向けに設計
低〜中程度の高度さの脅威アクターを想定している可能性が高いSolyxImmortalは、コモディティ・マルウェアを共有する地下のTelegramチャンネルで提供されており、トルコ語話者の脅威アクターによって開発されたようだ。
想定される開発者の地下活動に基づき、Cyfirmaはこのマルウェアが機会主義的なデータ窃取と監視のために設計されたとみている。ただし、他の脅威アクターによって容易に転用・再配布され得る。
Cyfirmaは「脅威ランドスケープの観点から、このサンプルは、中堅クラスの脅威アクターが専用インフラを維持することなく、入手容易なプラットフォームとスクリプト言語を活用して有効な監視ツールを展開するという、より広範な傾向を反映している」と指摘している。
翻訳元: https://www.securityweek.com/solyximmortal-information-stealer-emerges/
