BlackFog研究者は、Venom Stealerとして知られている洗練された新しいMalware-as-a-Service(MaaS)を発見しました。Lumma、Vidar、RedLineなどの従来の一般的なスティーラーとは異なり、Venomは完全で自動化されたデータ盗難パイプラインを提供しています。
不正な社会工学的手法をそのコントロールパネルに直接統合しており、初期侵害の長時間後も継続して機能するデータ流出サイクルを確立しています。
攻撃チェーンは、被害者がClickFixおとりをホストしている悪質なウェブページにアクセスすることから始まります。
Venomは、WindowsおよびmacOSシステム向けに設計された4つの異なるテンプレートをオペレーターに提供しています。偽のCloudflare CAPTCHA、OSのアップデートプロンプト、SSLエラー証明書画面、偽のフォントインストールページです。
これらのページは、ユーザーに実行ダイアログまたはターミナルを開き、特定のコマンドを貼り付けて、Enterキーを押すよう促します。
ユーザーが手動でアクションをトリガーするため、実行は正当なものに見えます。セキュリティツールが疑わしい親子プロセスの関係を監視するのを簡単に回避します。
Windowsペイロードはexe、HTA、BAT、ファイルレスPowerShellスクリプトなどの様々な形式を使用しています。一方、macOSバージョンはbashおよびcurlコマンドに依存しています。
Venom Stealerはデータを一度だけ取得して終了するのではありません。見つかった暗号通貨ウォレットデータはすぐにGPUで動力を供給されるサーバー側のクラッキングエンジンに送信されます。
このシステムは、MetaMask、Trust Wallet、Phantom、Electrumなどの一般的なウォレットを自動的にクラックします。クラック後、自動スクリプトは9つの異なるブロックチェーンネットワーク全体で即座に資金を流出させます。
最近のアップデートでは、被害者のローカルファイルをスキャンして保存されたシードフレーズを検索し、クラッキングパイプラインに直接送信する機能も追加されました。
これは、ブラウザにパスワードを保存しないユーザーであっても、ハードドライブのどこかにリカバリーフレーズを保存している場合は深刻なリスクにさらされていることを意味します。
Venomを古いインフォスティーラーと区別するのは、その持続性です。感染デバイスに継続して活動し、Chromeのログインデータファイルblackfogを継続的に監視して、新たに保存されたパスワードをリアルタイムで取得します。
この継続的な監視は、新しいパスワードはユーザーが入力した瞬間に盗まれるため、資格情報の変更などの標準的なインシデント対応戦略を損なわせます。これにより長期間の流出ウィンドウが生じ、違反の全範囲を判断することが非常に困難になります。
Venom Stealerからの防衛には多層的なアプローチが必要です。組織はグループポリシーを使用して標準ユーザーによる実行ダイアログへのアクセスをブロックし、PowerShellの実行を制限し、スタッフにClickFixおとりを見分けるためのトレーニングを行うことで、エクスポージャーを軽減できます。
さらに、攻撃全体が盗まれたデータを迅速に移動することに依存しているため、不正な送信トラフィックの監視とブロックが重要です。
アンチデータ流出(ADX)に焦点を当ひたソリューションは、これらの不正な転送をリアルタイムで遮断でき、サイバー犯罪者がデータを現金化する前に盗難パイプラインを実質的に切り遮断できます。
翻訳元: https://cyberpress.org/venom-stealer-steals-data/