認証情報盗難と継続的なデータ窃取を自動化する「Venom Stealer」という新しいマルウェア・アズ・ア・サービス(MaaS)プラットフォームがサイバーセキュリティ研究者によって特定されました。
このプラットフォームはサイバー犯罪ネットワークで販売されており、初期感染後でも盗まれたデータへの継続的なアクセスを維持することで、従来の認証情報収集ツールを超えるように設計されています。
Venom Stealer への ClickFix の統合
BlackFog研究者が3月31日に発表した新しい勧告によると、Venom StealerはオペレーターパネルにClickFixソーシャルエンジニアリングの統合を含んでおり、攻撃者が感染からデータ盗難までの攻撃チェーン全体を自動化することを可能にしています。
このプラットフォームは月額250ドルから生涯アクセス1,800ドルまでのサブスクリプションモデルで運営されており、Telegramベースのライセンスとアフィリエイトプログラムが含まれています。
感染プロセスは、被害者がCloudflare CAPTCHA、OSアップデートプロンプト、SSLエラー、フォントインストールページなどの偽のウェブページにアクセスしたときに始まります。被害者はRunダイアログまたはターミナルを開き、コマンドを貼り付けて自分で実行するよう指示されます。これにより、アクティビティはユーザーが開始したように見え、検出システムを回避するのに役立ちます。
実行されると、マルウェアはChromiumおよびFirefoxベースのブラウザから保存されたパスワード、セッションクッキー、閲覧履歴、自動入力データ、暗号資産ウォレット情報を抽出します。マルウェアはシステムフィンガープリンティングも実行し、ブラウザ拡張機能データを収集して、感染システムの詳細なプロファイルを作成します。
ソーシャルエンジニアリング攻撃の詳細:サービスデスクソーシャルエンジニアリング攻撃の構造
継続的なデータ窃取と暗号資産盗難
1回実行して終了する従来のinfostealer(情報盗難ツール)とは異なり、Venom Stealerは活動を継続し、Chromeのログインデータベースを継続的に監視してリアルタイムで新しく保存された認証情報をキャプチャします。これにより、認証情報ローテーションは対応戦略としての有効性が低下し、データが盗まれる可能性のある期間が延長されます。
暗号資産ウォレットが見つかった場合、データはGPUインフラストラクチャ上で実行されるサーバー側のクラッキングエンジンに送信されます。クラッキングされると、資金はトークンと分散型ファイナンスポジションを含む複数のブロックチェーンネットワーク全体に自動的に転送されます。
マルウェアの主要な機能は以下の通りです:
-
WindowsとmacOS向けの自動ClickFix配信テンプレート
-
感染後の継続的な認証情報監視
-
暗号資産ウォレットのクラッキングと自動資金転送
-
シードフレーズとパスワードファイルのファイルシステム検索
BlackFogは、PowerShell実行を制限し、標準ユーザー向けのRunダイアログを無効にし、従業員にClickFix型のソーシャルエンジニアリング試行を認識するよう訓練することで、攻撃チェーンを中断できると述べました。マルウェアは攻撃者が制御するサーバーへの即座のデータ窃取に依存しているため、アウトバウンドネットワークトラフィックの監視も重要です。
調査によると、このプラットフォームは積極的に保守されており、2026年3月に複数の更新がリリースされており、フルタイムの開発オペレーションを示唆しています。
翻訳元: https://www.infosecurity-magazine.com/news/venom-stealer-maas-automates-data/
