fezboxは悪意あるnpmパッケージの名称です。
脅威アクターによって次々と新たな難読化の方式が考案されて投入されていきますが、このfezboxからもそういった内容を読み取ることができます。
いくつか見てみましょう。
- URLを逆にして仕込む
マルウェアではいろいろな場所にいろいろな方法で攻撃に使用するURLを埋め込んで使用します。
このfezboxも、その意味では同じでした。
fezboxのとった作戦の一つは、URLを逆にして仕込むことでした。
QRコードの画像の中に文字列を仕込みます。
この文字列は一見何の意味も持たない文字列です。
しかし、その対象の文字列を逆から見ると、URLの体裁となるようになっています。
この文字列を攻撃コードは元の状態に戻して利用します。
この仕掛けによって、マルウェアに埋め込まれたURL文字列があると判定される可能性を下げていると考えられます。 - 攻撃コードの中の文字列を逆にして仕込む
逆にする作戦は、ここでも使われていました。
攻撃の手順の中に、侵害環境のcookieを解釈する部分があります。
この解釈して特定の要素を取得する部分に逆にする手法が使われています。
攻撃コードはcookieのなかのusernameの値とpasswordの値を取得しようとします。
しかし、この属性名をそのまま攻撃コードの中に記述するのではなく、逆向き文字列にして埋め込み、コードの実行の中で取得する属性の名称を組み立てなおして利用するようにしました。
これも、やはり、悪意ある活動と検出されることを避ける目的で仕込まれた機構でしょう。
この例のcookieの内容を解釈して内容を盗むという部分だけに注目すると、この脅威は大きなものではないかもしれません。
しかし、ここで使われた文字列を逆にするという作戦は、今後の別の脅威でも類似する作戦が実行されそうな内容に思えます。
脅威アクターは次々に新しい考え方を投入し、検出を逃れようと策を講じてきます。
防御側としても、常に新しい対策を投入することを考える必要があるということに思えます。
Malicious fezbox npm Package Steals Browser Passwords from Cookies via Innovative QR Code Steganographic Technique
https://socket.dev/blog/malicious-fezbox-npm-package-steals-browser-passwords-from-cookies-via-innovative-qr-code
| この記事をシェア |
|
|---|
