盗まれた認証情報は、サイバー犯罪者の主要なアクセス経路です。それらの認証情報を供給するための情報盗聴ツールの使用は、現代のサイバー犯罪の基盤です。
情報盗聴ツールは、複雑性と使用方法の両面で継続的に改善されています。Venom Steelerはそれを使用したい人なら誰でもマルウェア・アズ・ア・サービス(MaaS)を通じて利用できる新しく発見されたキットです。販売されるのではなく、月額250ドルまたは生涯使用で1,800ドルのライセンスで提供されます。これにより、使用と更新が提供されます。
BlackFogによって発見された分析されたVenom Steelerキットは、情報盗聴ツールの改善された複雑性とMaaSマーケットプレイスの継続的な効率性の両方を示しています。VenomStealerのハンドルのもとで、開発者はTelegramを通じてライセンスとアフィリエイトプログラムの両方を販売しています。キットへの頻繁なアップデートは、完全な購入よりもライセンスの価値を示し、これが開発者にとってフルタイムの事業であることを示唆しています。
各ライセンスオペレーターはCloudflare DNSを使用して独自のカスタムドメインを構成します。このようにして、情報盗聴ツールのURLはいかなる発行されたコマンドにも表示されません。このドメインがVenom Steelerのオペレーティングパネルで構成されると、その他すべてが自動化されます。Windowsターゲットペイロードをインストールするための事前構築されたプロフェッショナルなソーシャルエンジニアリングClickFixルアーの範囲が利用可能です。これらはキットのオペレーティングパネルから選択できます。
Venom SteelerはWindowsをターゲットにしていますが、インターネットドメイン経由で操作され、WindowsとmacOSの両方のシステムで取得して使用できます。
事前構築されたClickFixテンプレートには、偽のCloudflare CAPTCHA、偽のOSアップデート、偽のSSL証明書エラー、および偽のフォントインストールページが含まれています。各ルアーは、ターゲットに実行ダイアログまたはターミナルを開き、コマンドを貼り付けてEnterキーを押すよう求めます。
成功した場合、Venom Steelerペイロードがインストールされて実行されます。システム上のすべてのChromiumおよびFirefoxブラウザをスキャンします。保存されたパスワード、セッションクッキー、閲覧履歴、自動入力データ、および仮想通貨ウォレット保管庫をすべてのプロフィールから抽出します。「Chromeのv10およびv20のパスワード暗号化は、UAC(ユーザーアカウント制御)ダイアログをトリガーせずに復号化キーを抽出するサイレント特権昇格を使用してバイパスされ、フォレンジック証跡は残さない」と研究者は報告しています。
システムフィンガープリンティングおよびブラウザ拡張機能のインベントリも認証情報とともにキャプチャされ、サイバー犯罪者に各ターゲットの完全なプロファイルを与えます。このデータはすべてほとんどローカルステージングまたは遅延なく即座に流出します。
この時点で、従来の情報盗聴ツールは一般的に到着した時と同じくらい静かに迅速に被害者を去ります。しかし、現在の情報盗聴ツールは残り続け、一度限りの購入よりも継続的なライセンスの価値を実証します。
Venom Steelerは通常の急速な盗聴と撤退ではなく、継続性を目指して構築されています。継続性自体は情報盗聴ツールに完全に新しいわけではありませんが、Venom Steelerはさらに進んで、運用中です。セッションリスナーはバックグラウンドでサイレントかつ継続的に実行されます。
リスナーは1日に2回、新しく保存されたパスワードに関する情報をホームにコールインします。これにより、被害者によるパスワードローテーションが失敗することになります。これは標準的な会社ポリシーによって開始されるか、詳細がダークウェブで利用可能になったことを学ぶというインシデント対応のいずれかです。リスナーは新しいウォレットアクティビティも報告します。
リスナーは2026年3月に提供された更新の1つでVenom Steelerに追加され、一度限りの購入ではなく継続的なライセンスの敵対的利点を実証しています。
3月に到着した他のアップデートには、Chrome v10/v20バイパスと、Chrome、Edge、Brave、およびOperaすべてで完全なシードフレーズとTONアドレスを回復するTonkeeper TONウォレット拡張機能の自動クラックサポートが含まれています。
盗まれたウォレットデータはGPUインフラストラクチャ上で実行されているサーバー側のクラッキングエンジンに渡されます。これはMetaMask、Phantom、Solflare、Trust Wallet、Atomic、Exodus、Electrum、Bitcoin Core、Monero、およびTonkeeperを自動クラックします。クラックされると、研究者によると、「自動転送エンジンはERC-20/SPLトークン、液体ステーキング位置、およびDeFiプロトコル位置を含む9つのチェーン全体で即座に資金を掃引します。」
以前の情報盗聴ツールよりも高度ですが、Venom Stealer(他のすべての盗聴ツールのように)は攻撃者にとって自動的なスラムダンクではありません。PowerShell実行を制限し、標準ユーザーの実行ダイアログを無効にし、従業員のソーシャルエンジニアリング認識を改善することにより、露出を減らすことができます。
これらが失敗し、盗聴ツールがインストール・運用された場合、アウトバウンドトラフィックの継続的な監視と制御は、流出活動を検出または防止する機会を提供します。盗聴ツールのペイロードの存在を検出でき、情報の金鉱の盗難を止めることができます。
翻訳元: https://www.securityweek.com/venom-stealer-raises-stakes-with-continuous-credential-harvesting/
