新たに特定された Windows 情報盗難ウェアである CharlieKirk Grabber は、認証情報盗難に対する高速な「奪い取り」アプローチでユーザーを標的としています。このマルウェアは Python で書かれており、PyInstaller を使用してスタンドアロンの Windows 実行可能ファイルにパッケージ化されています。
2026 年 2 月に最初に観察されたサンプルは未署名で、ログインしたユーザーのコンテキストで実行されるように設計されていました。
永続性または長期的な制御に焦点を当てた高度な脅威とは異なり、CharlieKirk Grabber は即座のデータ収集と迅速な流出を優先します。
その主な目的は、システムを終了する前にログイン認証情報、ブラウザ データ、セッション トークン、およびシステム識別子を盗むことです。
実行されると、マルウェアはシステム偵察を実行します。ユーザー名、ホスト名、ハードウェア UUID、オペレーティング システムの詳細、プロキシ構成、および外部 IP アドレスを収集します。このプロファイリング データは、攻撃者が侵害されたマシンを一意に識別するのに役立ちます。
ブラウザ認証情報データベースにアクセスするために、マルウェアは TASKKILL コマンドを使用してアクティブなブラウザ プロセスを強制的に終了します。
マスター暗号化キーは Local State ファイルから取得され、認証情報は AES-GCM を使用して復号化されます。Firefox ベースのブラウザは、logins.json からログイン データを復号化するために、Network Security Services (NSS) ライブラリを通じても対象となります。
ブラウザ盗難に加えて、マルウェアは NETSH を使用して保存された Wi-Fi パスワードを抽出し、Discord 認証トークンをキャプチャし、Discord API を介してそれらを検証します。
また、Steam と Minecraft に関連するデータを含むゲーミング セッション ファイルも収集し、攻撃者がパスワードなしでアカウントをハイジャックできる可能性があります。
CharlieKirk Grabber は SYSTEMINFO、WHOAMI、CMD、PowerShell など、正当な Windows ユーティリティに大きく依存しています。
この「ランド・オフ・ザ・ランド」戦略は、悪意のある動作を通常の管理活動と混合し、署名ベースの検出を複雑にしています。また、管理者権限が利用可能な場合は、PowerShell を使用して Microsoft Defender の除外を追加しようとします。
マルウェアは収集されたすべてのデータを %LOCALAPPDATA%\Temp 下の一時ディレクトリに段階的に配置し、しばしば「KIRK_administrator」というラベルが付けられます。データは流出前に ZIP アーカイブ に圧縮されます。
データの流出のために、マルウェアはアーカイブを GoFile などのサードパーティ ファイル ホスティング サービスにアップロードします。結果として得られたダウンロード リンクは、HTTPS 経由で Discord ウェブフック または Telegram ボット経由で攻撃者が制御するインフラストラクチャに送信されます。
通信は暗号化された TLS チャネル 経由で発生し、正当なクラウド サービスを悪用するため、ネットワーク レベルの検出はより困難になります。
動的分析では、高度なアンチデバッグまたはアンチサンドボックス技術は見られませんでした。
しかし、マルウェアは表示されるコマンド プロンプトを抑制し、サブプロセスをサイレント実行し、正常なアップロード後に一時的なアーティファクトを削除します。一部の構成では、ユーザー ログオン時のスケジュール タスク作成を使用して永続化しようとします。
セキュリティ専門家は、主なリスクは大規模な認証情報の侵害とセッション ハイジャッキングであると警告しています。
組織は、多要素認証 (MFA) の実施、ブラウザ パスワード保存の制限、ブラウザ プロセスの異常な終了の監視、および公開ファイル共有およびメッセージング プラットフォームへの不正な送信接続のブロックを推奨されています。
翻訳元: https://cyberpress.org/charliekirk-grabber-steals-credentials/