出典:ゲリー・ピアス via Alamy Stock Photo
ClickFix形式の攻撃を展開することがはるかに容易になりました。新たに配布されたマルウェア・アズ・ア・サービス(MaaS)プラットフォームが、志望する攻撃者に対して社会工学的手法のあらゆるステップを自動化しているおかげです。研究者が発見しました。
「VenomStealer」という名前で活動する開発者が、同じ名前のMaaSプラットフォームをサイバー犯罪フォーラムおよびネットワークで販売しており、BlackFogの研究者が火曜日に発表されたレポートで明かしています。Venom Stealerは攻撃者に対して、初期感染から認証情報窃盗、暗号資産ウォレットアクセス、およびデータ流出に基づく永続的な多段階パイプラインを初期ClickFixインタラクションから作成することが可能です。
「Venomは資格情報収集以上のことを行うため、Lumma、Vidar、RedLineなどのコモディティ盗聴器とは異なります」とBlackFogの創設者兼CEOのダレン・ウィリアムズがレポートに記述しています。「それはClickFix社会工学をオペレーターパネルに直接組み込み、初期アクセス後のあらゆるステップを自動化し、初期ペイロードの実行終了時に終わらない継続的な流出パイプラインを作成します。」
サイバー犯罪フォーラムで「ウォレット抽出のApex Predator」として宣伝されているこのプラットフォームは、ウィリアムズによると、月額250ドル、または生涯アクセスの場合は1,800ドルのサブスクリプション方式で販売されています。Venom Stealerの審査済みアプリケーションプロセス、Telegramベースのライセンス、および15%のアフィリエイトプログラムがあります。これはウェブパネルからオペレータごとにコンパイルされたネイティブC++バイナリペイロードを配信します。
従来のステーラーはシンプルに1回実行、データを流出させ、終了するのとは異なり、Venom Stealerは継続的にシステムをスキャンしして認証情報、セッションクッキー、ブラウザデータを抽出します。BlackFogのレポートによると、暗号資産ウォレットと保存されたシークレットをターゲットにしており、ウォレット破解と資金流出を自動化しています。
さらに、コモディティMaaS市場での比較的新しい存在にもかかわらず、Venom Stealerの背後の操作はすでに繁盛しているビジネスのようです。ウィリアムズは指摘しています。これまでのところ、3月だけでも、その開発者はすでにプラットフォームに複数の更新を配信しています。
設計による段階的なClickFix
Venom Stealerで構築された攻撃は、見込み客がオペレーターがホストするClickFixページに到達するときに始まります。プラットフォームはプラットフォーム(WindowsおよびmacOS)ごとに4つのテンプレート、偽のCloudflareCAPTCHA、偽のOSアップデート、偽のSSL証明書エラー、および偽のフォントインストールページを備えています。それぞれターゲットに対して、実行ダイアログまたはターミナルを開き、コマンドをコピーして貼り付け、Enterキーを押すよう求めています。
「ターゲット自体が実行を開始するため、プロセスはユーザーが開始したように見え、親子プロセス関係の周囲に構築された検出ロジックを回避します」とウィリアムズは説明しました。
キットで利用可能なWindowsペイロードには.exe、.psi(またはPowerShell経由のファイルレス)、.hta、および.batオプションが含まれており、macOSテンプレートはbashおよびcurlを使用しています。プラットフォームはまた、オペレーターに対してCloudflare DNSを通じてカスタムドメインを構成する機能を提供するため、パネルURLはコマンドに表示されません。
ペイロードが実行されると、マシン上のあらゆるChromiumおよびFirefoxベースのブラウザをスイープし、すべてのプロフィールから保存されたパスワード、セッションクッキー、閲覧履歴、自動入力データ、および暗号資産ウォレットボールトを抽出します。
さらに、実行モードに組み込まれた回避機能があり、Chromeのバージョン10および20のパスワード暗号化は、ユーザーアカウント制御(UAC)ダイアログをトリガーすることなく復号化キーを抽出する無言特権エスカレーションを使用してバイパスされており、したがってフォレンジック的な痕跡は残りません。ウィリアムズは指摘しました。攻撃チェーンはまた、認証情報とともにシステムフィンガープリンティングおよびブラウザ拡張機能インベントリをキャプチャし、サイバー犯罪者に各ターゲットの完全なプロフィールを提供しています。
「これらすべてのデータは感染デバイスからすぐに離れ、ほとんど、またはまったくローカルステージングまたは遅延がありません」とウィリアムズは書きました。「アウトバウンドトラフィックに対する適切な可視性がなければ、このアクティビティの検出は非常に困難になります。」
永続的なデータ盗聴パイプライン
攻撃は、発見されたウォレットデータを、MetaMask、Phantom、Solflare、Trust Wallet、Atomic、Exodus、Electrum、Bitcoin Core、Monero、およびTonkeeperなどの暗号ウォレットを自動的に破解するサーバー側のGPU駆動破解エンジンに転送します。さらに、Venom Stealerへの3月9日の更新により、ファイルパスワードおよびシードファインダーも追加されました。これはファイルシステムをローカルで保存されたシードフレーズを検索し、見つかったものすべてを破解パイプラインに供給します。
「認証情報をブラウザに保存しないようにするターゲットでさえ、シードフレーズがマシン上の任何の場所に存在する場合はリスクにさらされています」とウィリアムズは書きました。
そして、いくつかの新しいインフォスティーラーバリエーションはいくつかの永続性機能を持っていますが、Venomは初期侵害後に活動を続けていることで、それらすべてを超えており、Chromeのログインデータを継続的に監視し、新しく保存された認証情報をリアルタイムでキャプチャしています。彼は付け加えました。
「これにより、認証情報のローテーションはインシデント対応措置として損なわれ、流出ウィンドウは初期感染を超えて拡張されます」とウィリアムズは指摘しました。「その結果、進行中の侵害の全範囲を決定することはより困難になります。」
ClickFix露出を削減する方法
ProofPointの研究者はClickFix攻撃を最初に発見しました約2年前に、そして技術は爆発的に普及しており、その後サイバー犯罪コミュニティで拡がっています。攻撃は、ターゲットに何か悪いことがあり、修正またはアップデートする必要があることを伝えることで緊急性を植え付けており、その後、非常に控えめなCAPTCHAスタイルのプロンプトを使用してそれらを安心感の偽りの感覚に誘い込みます。目的は、ユーザーが悪意のあるプロンプトをそれ自体に対して実行するようにだまして誘導することです。
組織はVenom Stealerのような脅威への露出を削減することができます。PowerShell実行を制限し、グループポリシーを通じて標準ユーザーの実行ダイアログを無効にし、従業員にClickFix形式の社会工学を認識するようにトレーニングすることです。ウィリアムズが助言しました。
「ペイロードが実行されると、攻撃チェーンはデータがデバイスから離れることに依存しています」と彼は書きました。「この時点で、アウトバウンドトラフィックの監視と制御が重要になります。これは、流出アクティビティを検出または防止し、認証情報窃盗およびそれに続くアクションの影響を制限する機会を提供するためです。」
翻訳元: https://www.darkreading.com/endpoint-security/venom-stealer-maas-commoditizes-clickfix-attacks
