NodeStealerは名前が示す通りインフォスティーラー型マルウェアです。
以前から観測されていましたが、最近のNodeStealerはその内容が変化していることがわかってきました。
- Facebook Ads Managerの悪用
Facebook Ads ManagerはFacebookやInstagramなどの複数のソーシャルメディアプラットフォームで広告キャンペーンを管理するためのツールです。
最近、Facebook Graph APIを使用してアカウントの予算詳細を収集するPython NodeStealerサンプルがいくつか見つかりました。
サンプルは最初に、被害者のマシンで収集されたCookieを使用してadsmanager.facebook.comにログインし、アクセストークンを生成します。
そしてそのトークンを使ってbusinessesエンドポイントやAd Accountsエンドポイントにアクセスして情報を抜き出します。 - Windows Restart Managerの悪用
このマルウェアは侵害環境での動作の中でブラウザデータベースファイルから情報を抜き取ります。
しかしアプリケーションがそのデータベースファイルを利用中で操作ができない状態となっている場合があります。
この状態でも情報を抜き取ることができるようにWindows Restart Managerを使用します。
Windows Restart Managerを使うことで利用中のファイルのロックを解除し情報抜き取りの開始に進みます。 - クレジットカード情報の取得
Webブラウザの持っている情報を抜き取る手法も追加されています。
カード所有者の名前、カードの有効期限、カード番号などをはじめとしたブラウザに記録されている内容を抜き取ります。 - いくつもの回避策の実装
セキュリティ機構を提供する仕組みによっては大きなファイルは検査の対象外となる場合があります。
これを悪用することを狙って、無意味なデータを悪用スクリプトの前後に配置し、検出を逃れようとした実装になっています。
悪意あるコードの前後には600万文字から390万文字が置かれた状態になっています。
また別の回避策として攻撃コードをその場で組み立てる機構も実装されています。
攻撃手順の中でバッチファイルでマルウェアコードを外部から入手するパターンがありますが、このマルウェアではバッチファイルの実行の際にバッチファイルの中に用意した情報を使ってその場で攻撃用スクリプトを生成する機構を持っています。
以前確認されていたNodeStealerは名前が示す通りJavaScriptで作られたマルウェアでした。
機能が拡張されていく過程で現在はPythonで作られている状態になっています。
そしてその機能も時間とともにどんどんと変化してきています。
インフォスティーラー型マルウェアの類はその場で情報を抜き取られるだけでは終わりません。
抜き取られた情報を使ってさらなる脅威へと繋がっていってしまいます。
常に注意が必要ということですね。
Python NodeStealer Targets Facebook Ads Manager with New Techniques
https://www.netskope.com/blog/python-nodestealer-targets-facebook-ads-manager-with-new-techniques
| この記事をシェア |
|
|---|
