ハッカーたちは単純なソーシャルエンジニアリングのトリックを大規模なデータ窃盗作戦へと転換しており、新たに発見されたマルウェアプラットフォーム「Venom Stealer」はこのシフトの顕著な例です。
Venom Stealerは一度だけ認証情報を盗むのではなく、継続的なデータ流出パイプラインを構築し、初期感染後も長期間にわたって機密情報の監視と抽出を可能にします。
このマルウェアは「VenomStealer」というエイリアスを使用する脅威アクターによって運用されており、月額250ドルから生涯アクセスで1,800ドルの範囲の購読モデルで提供されています。
BlackFogのセキュリティ研究者はVenom Stealerを発見しました。これはマルウェア・アズ・ア・サービス(MaaS)を提供しており、Lumma、Vidar、RedLineなどの従来のインフォスティーラーを超えています。
このサービスには厳選されたオンボーディングプロセス、Telegramベースのライセンス、さらに15%のアフィリエイトプログラムが含まれており、その商業化と専門的な構造が強調されています。
ClickFixルアが感染を駆動
Venom Stealerは初期アクセスを獲得するためにClickFixスタイルのソーシャルエンジニアリング攻撃に大きく依存しています。被害者はCloudflare CAPTCHAチェック、オペレーティングシステムアップデート、SSLセキュリティ証明書エラー、またはフォントインストールリクエストなどの正当なプロンプトを模倣した偽のウェブページへ誘導されます。
これらのページはユーザーにWindows実行ダイアログまたはmacOSターミナルを介してコマンドを手動で実行するよう指示します。被害者がアクションを開始するため、実行は正当に見え、疑わしい親子プロセスの動作に依存する検出メカニズムを回避するのに役立ちます。
このマルウェアはWindows上のEXE、PowerShellスクリプト、HTA、BATファイルなど複数のペイロード形式をサポートしており、macOS上のbashベースの配信もサポートしています。オペレータはCloudflare DNSを通じてカスタムドメインを設定し、悪意のあるインフラストラクチャが隠れた状態を保証します。
保存されたパスワード、セッションクッキー、閲覧履歴、オートフィルデータ、および暗号資産ウォレット情報をすべての利用可能なプロファイルから抽出します。
実行されると、Venom Stealerは感染したシステムを迅速にスキャンし、ChromiumおよびFirefoxベースのブラウザをターゲットにします。
特に注目すべきは、このマルウェアはChromeの暗号化保護(v10およびv20)を、ユーザーアカウント制御(UAC)アラートをトリガーせずに復号化キーを取得するサイレント権限昇格テクニックを使用してバイパスすることです。このプロセスはフォレンシック痕跡を最小限に抑えることにより、検出を困難にします。
収集されたすべてのデータはすぐに流出され、ローカルストレージなしに行われることが多いため、従来のエンドポイント監視を通じた検出の可能性が減ります。
自動化された暗号資産窃盗パイプライン
Venomの機能は認証情報の窃盗を超えています。発見された暗号資産ウォレットデータはサーバー側のGPU駆動クラッキングエンジンに送信されます。
このシステムはMetaMask、Trust Wallet、Exodus、Electrumなどのプラットフォームからウォレットを自動的にクラックできます。
最近のアップデートではまた「ファイルパスワードとシードファインダー」が導入され、ローカルシステムを保存されたシードフレーズをスキャンし、クラッキングパイプラインに供給します。これはデバイスに機密の回復データを保存するユーザーのリスクを大幅に増加させます。
一度実行して終了する従来のインフォスティーラーとは異なり、Venomは永続性を保持します。ブラウザデータベースを継続的に監視し、リアルタイムで新たに保存された認証情報をキャプチャします。
アクセスが得られると、自動転送エンジンはERC-20およびSolanaベースのトークンを含む複数のブロックチェーンネットワークを横切って資金を迅速に移動し、DeFiアセットも対象にします。
この永続性は、新しく更新された認証情報がまだインターセプトされる可能性があるため、パスワードローテーションなどの一般的なインシデント対応戦略を損なします。また、組織がブリーチの全範囲を決定することがより難しくなります。
BlackFogの研究者は、組織はPowerShellの使用を制限し、標準ユーザーの実行ダイアログを無効にし、ClickFixスタイルの攻撃を認識するためにEmployee トレーニングを実施することにより、露出を減らすことができると述べています。
しかし、データ流出を中断するために最も重要なステージです。アウトバウンドトラフィックを監視し、不正な接続をブロックすることで、初期侵害後でさえ継続的なデータ窃盗を検出または停止するのに役立ちます。
Venom Stealerはサイバー犯罪のトレンドの増加を反映しており、攻撃者はソーシャルエンジニアリング、自動化、持続的なアクセスを単一の合理化されたプラットフォームに組み合わせ、単一のユーザーアクションを長期的なセキュリティブリーチに変えています。
侵害の指標
| 指標 | 詳細 |
| フォーラムハンドル | VenomStealer |
| ペイロード | ネイティブC++バイナリ、ゼロ依存関係、ウェブパネル経由でオペレータごとにコンパイル |
| UACバイパス | CMSTPLUA COMインターフェース(サイレント昇格) |
| 配信 | PowerShell -w h(Windows)またはbash/curl(macOS)経由のClickFix |
| セッションリスナー | Chrome Login Dataファイルで30秒ポーリング |
| C2 | Cloudflare DNS経由でオペレータが設定したカスタムドメイン(CNAME + auto-SSL) |
翻訳元: https://gbhackers.com/venom-stealer-via-clickfix/
