脅威検出の過程で、私たちの以前の調査と同じマルウェアローダーを使用して、異なる脅威を配信するキャンペーンを発見しました:Needle Stealerは、ブラウザデータ、ログインセッション、暗号資産ウォレットなどの機密情報を感染したデバイスから静かに収集するように設計されたデータ盗難マルウェアです。
この場合、攻撃者はTradingViewのAI支援アシスタントであると主張するTradingClaw(tradingclaw[.]pro)というツールを宣伝するウェブサイトを使用しました。
TradingViewはトレーダーが金融市場を分析するために使用する正当なプラットフォームですが、この偽のTradingClawサイトはTradingViewの一部ではなく、正当なスタートアップのtradingclaw[.]chatとも関連していません。代わりに、人々をマルウェアのダウンロードにだますための罠として使用されています。
Needle Stealerとは何ですか?
NeedleはGoで書かれたモジュール式のinfostealerです。簡単に言えば、機能がモジュール化されているため、攻撃者は何を盗みたいかに応じて機能をオン・オフに切り替えることができます。
- Needle Core:メインコンポーネント。フォームグラビング(ウェブサイトに入力したデータをキャプチャ)やクリップボード乗っ取りなどの機能を備えています
- 拡張機能モジュール:ブラウザを制御し、トラフィックをリダイレクトし、スクリプトを注入し、ダウンロードを置き換えます
- デスクトップウォレットスプーファー:LedgerやTrezor、Exodusなどの暗号資産ウォレットアプリを対象とします
- ブラウザウォレットスプーファー:MetaMaskやCoinbaseなどのブラウザベースのウォレット、およびシードフレーズ抽出の試みを対象とします
パネルには、偽のGoogleまたはCloudflareスタイルのページを生成する「近日公開」の機能も表示されており、攻撃者がより高度なフィッシング技術への拡大を計画していることが示唆されています。
TradingClawキャンペーンの分析
このキャンペーンでは、マルウェアはAIトレーディングツールとしてTradingClawを宣伝する偽ウェブサイトを通じて配信されます。
このサイト自体は選別的に動作します。場合によっては、訪問者に偽のTradingClawページが表示されますが、他の場合は異なるサイト(studypages[.]com)にリダイレクトされます。この種のフィルタリングは、攻撃者が検出を回避し、意図したターゲットにのみ悪意のあるコンテンツを表示するために一般的に使用されます。たとえば、検索エンジンはStudypagesバージョンを見ます:
ユーザーが続行すると、ZIPファイルをダウンロードするよう求められます。このファイルには感染チェーンの最初のステージが含まれます。
前のキャンペーンと同様に、この攻撃はDLL乗っ取りと呼ばれる技術に依存しています。簡単に言えば、これはマルウェアが信頼されたプログラムが自動的にロードする正当なファイルとして偽装することを意味します。プログラムが実行されると、無意識のうちに悪意のあるコードを実行します。
この場合、DLLローダー(iviewers.dllという名前)が最初に実行されます。その後、第2ステージのDLLをロードし、最終的にプロセスホローイングとして知られる技術を使用して、Needle StealerをWindowsの正当なプロセス(RegAsm.exe)に注入します。
stealerはGoで開発されており、ほとんどの機能は「ext」パッケージで実装されています。
マルウェアが行うこと
インストール後、Needle coreモジュールは以下を実行できます:
- 感染したシステムのスクリーンショットを取得する
- 履歴、クッキー、保存情報を含むブラウザデータを盗む
- TelegramやFTPクライアントなどのアプリからデータを抽出する
- .txtドキュメントやウォレットデータなどのファイルを収集する
- 暗号資産ウォレット情報を盗む
より懸念される機能の1つは、悪意のあるブラウザ拡張機能をインストールする能力です。
悪意のあるブラウザ拡張機能
stealerは悪意のあるブラウザ拡張機能の配信もサポートしており、攻撃者に被害者のブラウザを制御する強力な方法を提供します。
私たちは、それぞれ異なるファイル構造とコンポーネントを持つこれらの拡張機能の複数のバリエーションを特定しました。舞台裏では、マルウェアは組み込みのGoFランゲージ機能を使用して、隠されたZIPアーカイブ(多くの場合base.zipまたはmeta.zipという名前)をアンパックし、それには拡張ファイルと設定ファイル(cfg.json)が含まれています。
部分的なcfg.json設定ファイル:
{
"extension_host": {},
"api_key": "…
"server_url": "https://C2/api/v2",
"self_destruct": true,
"base_extension": true,
"ext_manifest": {
"account_extension_type": 0,
"active_permissions": {
"api": [
"history",
"notifications",
"storage",
"tabs",
"webNavigation",
"declarativeNetRequest",
"scripting",
"declarativeNetRequestWithHostAccess",
"sidePanel"
],
"explicit_host": [
"<all_urls>"
],
"manifest_permissions": [],
"scriptable_host": [
"<all_urls>"
]
},
"commands": {
"_execute_action": {
"was_assigned": true
}
},
…この設定ファイルは重要です。これは、盗んだデータをどこに送信するか(コマンド・アンド・コントロールサーバー)、どの悪意のある拡張機能をインストールするか、どの機能を有効にするかをマルウェアに指示します。
stealerの拡張機能は、%LOCALAPPDATA%\Packages\Extensionsパスのランダムフォルダに保存されます。フォルダには、popup.js、content.js、background.jsの3つのメインファイルが含まれています。
分析された拡張機能にはGoogleに関連した名前が付けられています。
悪意のある拡張機能ができること
この拡張機能は攻撃者にブラウザをほぼ完全にコントロールさせ、一般的なマルウェアよりもはるかに広い機能を備えています。
- リモートサーバーに接続する。組み込みのAPIキーを使用して定期的に指示をチェックします。メインサーバーがオフラインになった場合は、バックアップドメインに切り替えることもできます。
- 一意のIDを生成する。時間をかけて感染したユーザーを追跡します。
- 完全な閲覧履歴を収集し、リモートサーバー(
/upload)に送信します。 - リアルタイムで何をしているかを監視する。訪問しているサイトを含め、攻撃者が制御するリダイレクトルールを適用します。これにより、別のウェブサイトにサイレントで送信したり、ページに表示されるものを変更したり、コンテンツを注入または非表示にしたりできます。
- ダウンロードをインターセプトし、正当なファイルをキャンセルし、攻撃者が制御するサーバーからの悪意のあるファイルに置き換えます。
- ウェブページにスクリプトを直接注入し、さらなるデータ盗難または操作を可能にします。
- 攻撃者が制御するテキストと画像を使用した偽のブラウザ通知を表示します。
攻撃者とのコミュニケーション方法
stealerとその拡張機能は、複数のAPIエンドポイントを使用してコマンド・アンド・コントロール(C2)サーバーと通信します。これらは本質的に特定のタスクに使用される異なる「チャネル」です:
/backup-domains/active:メインサーバーがブロックされた場合に接続を維持するためのバックアップサーバーを取得/upload:盗んだデータを攻撃者に送信/extension:リダイレクト、ダウンロード、通知の指示を受け取る/scripts:ウェブページに注入する悪意のあるコードをダウンロード
安全を保つ方法
詐欺師はAIテーマのツールを使用して、偽ウェブサイトを合法的に見せるようにますます利用しています。この場合、本来のAIトレーディングアシスタントはマルウェアのインストールに人々をだますために使用されました。
リスクを軽減するには:
- 公式ウェブサイトからのみソフトウェアをダウンロードしてください。ツールが有名なプラットフォームで機能すると主張している場合は、プラットフォームの公式サイトをチェックして、それが本物であることを確認してください。
- ファイルを実行する前に、誰が作成したかを確認してください。発行者の名前を確認し、見覚えのないまたは一貫性のないものは避けてください。
- ブラウザ拡張機能を定期的に確認してください。特に意図的にインストールしなかった拡張機能は、認識できないものをすべて削除してください。
影響を受けたと思われる場合はどうしますか
このinfostealerをダウンロードした可能性がある場合は:
- EDRおよびファイアウォールログをチェックして、IOCセクションにリストされているC2との通信を確認します。
- 別のクリーンなデバイスから、重要なすべてのアカウント(Google、Microsoft 365、銀行ポータル、GitHub、Discord、Telegram、Steam、暗号資産取引所)でのすべてのアクティブセッションからサインアウトしてください。パスワードをすべて変更し、このマシンからアクセスしたアカウントの2FAを有効にしてください。
%LOCALAPPDATA%\Packages\Extensionsフォルダと疑わしいブラウザ拡張機能を確認します。- マシンに暗号資産ウォレットがある場合は、クリーンなデバイスから直ちに資金を移動してください。これが、これらの操作者がまず現金化するものです。
- Malwarebytesで全スキャンを実行する。
妥協の指標(IOCs)
ハッシュ
95dcac62fc15e99d112d812f7687292e34de0e8e0a39e4f12082f726fa1b50ed
0d10a6472facabf7d7a8cfd2492fc990b890754c3d90888ef9fe5b2d2cca41c0
ドメイン
Tradingclaw[.]pro:偽ウェブサイト
Chrocustumapp[.]com:悪意のある拡張機能に関連
Chrocustomreversal[.]com:悪意のある拡張機能に関連
google-services[.]cc:悪意のある拡張機能に関連
Coretest[.]digital:C2パネル
Reisen[.]work:C2パネル
IP
178[.]16[.]55[.]234:C2パネル
185[.]11[.]61[.]149:C2パネル
37[.]221[.]66[.]27:C2パネル
2[.]56[.]179[.]16:C2パネル
178[.]16[.]54[.]109:C2パネル
37[.]221[.]66[.]27:C2パネル
209[.]17[.]118[.]17:C2パネル
162[.]216[.]5[.]130:C2パネル
