データベース流出は通常、発生から数週間または数ヶ月後に発見されます。フォレンジックチームは事象の復旧に数日を費やし、影響を受けたユーザーは最終的に通知を受け取ります。
しかし、インフォスティーラーマルウェアは、はるかに短いタイムラインで動作します。従業員が火曜日の午後に不正なソフトウェアをダウンロードする可能性があります。
木曜日の朝までに、企業の認証情報はダークウェブのマーケットプレイスで売却されることになります。感染から収集、そして金銭化まで、プロセス全体が企業ネットワークの外で発生し、内部セキュリティチームが異常なアクティビティに気付く前に完了します。
攻撃のタイムラインは初期感染から完全な悪用まで急速に進みます。0時間から2時間の間に、ユーザーが悪意のあるファイルをダウンロードすると感染が始まります。
一般的なベクターには、クラックされた生産性ソフトウェア、偽のYouTubeチュートリアル、および正当なウェブサイト上のマル広告キャンペーンが含まれます。
これらの現代的なマルウェアファミリーは、速度とステルス性のために設計されています。従来のアンチウイルスソリューションが異常な動作を検出する前に、静かに実行され、タスクを実行し、自己削除することがあります。
マルウェアはシステムメタデータ、VPN設定、クラウドサービスの認証情報も収集します。ユーザーが蓄積した認証データのあらゆる断片が静かに一つにまとめられます。
地下経済は、盗まれたログを配布・販売するために、いくつかの支配的なマルウェアファミリーとマーケットプレイスに依存しています。
脅威アクターは、検出を回避し、盗まれたデータの量を最大化するために、常にツールを更新しています。以下は、最も活動的なインフォスティーラーと、収穫されたデータが売却される主要なプラットフォームの内訳です。
Whiteintelのようなプラットフォームは、新しいログのダークウェブマーケットを積極的に監視することで、このブラインドスポットへの可視性を提供しています。
従業員のデバイスが感染し、その認証情報がマーケットプレイスに表示された場合、セキュリティチームは重要な24時間ウィンドウ内でアラートを受け取ります。
この早期検出により、管理者は初期アクセスブローカーがランサムウェアオペレーターに売却する前に、アクセスを取り消し、アクティブなセッションを無効にし、侵害されたアカウントを保護することができます。
インフォスティーラー流行に対抗するための鍵は、悪用が始まる前に対応することです。
翻訳元: https://cyberpress.org/infostealer-leads-to-dark-web/