- 30ドルのDarkCloud情報窃取ツールはブラウザとエンタープライズソフトウェア全体で静かに認証情報を収集
- レガシーVisual Basicコードは予想外に一部の最新検出ツールをマルウェアが回避するのを助けている
- 安価な認証情報窃取ツールは企業ネットワークの初期段階での侵害をますます引き起こしている
低価格のマルウェアツールはダークウェブでますます利用可能になっており、技術的知識が限定的な個人に認証情報窃取機能を提供しています。
Flashpointのセキュリティ研究者は、2022年頃からTelegramチャネルと公開ストアフロントを通じて流通しているDarkCloudとして知られるマルウェアの系統を最近分析しました。
ほぼ30ドルで利用可能で、多くのコンソールゲームの価格より安く、このツールは大規模な認証情報収集を実行し、盗まれた情報にはブラウザログイン、クッキー、財務データ、電子メールアプリケーションからの連絡先情報が含まれる可能性があります。
記事はこの下に続きます
安価なインフォステーラーがサイバー犯罪の障壁を低くしている
DarkCloudは公開リストに監視ソフトウェアとして自らを宣伝していますが、その内部機能は感染したマシンから認証情報と機密データを抽出することに焦点を当てています。
研究者によると、このタイプの情報窃取ツールは企業ネットワークへの頻繁なエントリーポイントになっており、侵害された認証情報はより深いネットワーク侵入につながることがよくあります。
DarkCloudの1つの異常な側面は、時代遅れのプログラミング環境Visual Basic 6.0の使用です。マルウェアペイロードはこのレガシー言語で書かれた後、ネイティブ実行可能ファイルにコンパイルされます。
Visual Basic 6.0は、最新のWindowsシステムでもまだ機能する古いランタイムコンポーネントに依存しており、Flashpointアナリストによると、多くの検出システムが最新の開発フレームワークに焦点を当てているため、このデザインの選択肢はいくつかのセキュリティツールの検出率を低下させる可能性があります。
マルウェアはまた、複数層の文字列暗号化と難読化を使用し、リバースエンジニアリングと静的分析を複雑にします。
内部文字列はランタイムまで暗号化されたままであり、疑似乱数生成器が決定論的プロセスを通じてそれらを再構築します。
これらの手法は新規な暗号化に依存せず、代わりにレガシープログラミング環境内の予測可能な動作を悪用します。
DarkCloudは様々なソフトウェアから認証情報とアプリケーションデータを収集することに集中し、Webブラウザ、メールクライアント、ファイル転送プログラム、および複数の通信ツールから情報を抽出します。
収集されたデータはWindowsテンプレートパスの下に作成されたディレクトリ内にローカルに保存されます。
1つのディレクトリはコピーされたデータベースファイルを保持し、別のディレクトリは暗号化されていないテキスト形式で書かれた解析情報を含みます。
このステージングシステムにより、マルウェアは外部に送信する前に構造化されたログを組み立てることができます。
このツールは盗まれた情報を送信するための複数の方法をサポートしています。
これらには、SMTP経由の電子メール送信、FTPサーバーを使用したファイル転送、Telegramチャネルを通じた通信、および直接的なHTTPアップロードが含まれます。
侵害された認証情報はしばしばネットワーク内でのラテラルムーブメントを許可するため、攻撃者は後でランサムウェアを展開し、フィッシング操作を開始するか、永続的なアクセスを維持する可能性があります。
基本的なエンドポイント保護または適切に構成されたファイアウォールでさえ、マルウェアが合法的なプロトコルを使用している場合、活動を検出するのに苦労する可能性があります。
したがって、セキュリティチームは、マルウェア除去ツールと並行して、認証情報監視とインシデント対応手順を含む、階層化されたコントロールに頻繁に依存しています。
低価格のインフォステーラーの継続的な流通は、技術的洗練性ではなく、低いエントリーコストが企業ネットワークの初期段階での侵害をますます推進していることを示唆しています。
