インフォスティーラー型マルウェアは多くのものが登場してしまっています。
活動が大きく確認されているその種のマルウェアのひとつに、StealCがあります。
StealCは2023年くらいから確認されるようになり、ダークウェブのサイバー犯罪チャネルで積極的に宣伝されました。
StealCは、その回避能力と広範なデータ窃取能力により、人気が高まりました。
よくみられるMaaS(Malware as a Service)として展開されました。
時間の経過とともに、活動が大きくなり、利用者が増えていき、機能は拡張されていきました。
そんななか、StealCのマルウェアの管理パネルのソースコードが漏洩するという事件が発生したことがありました。
マルウェアのソースコードが漏洩すると何が起こるのでしょうか。
すでに脅威アクターとして何らかの活動がしている人がさらなる追加の武器として利用を開始する、すでに脅威アクターとして何らかの活動がしている人が自分たちの武器の拡張のヒントにする、脅威アクターではなかった人がその道具を使って新たな脅威アクターとして活動を開始する、など、さまざまな影響があると想像できます。
しかしそれだけではありません。
このときにそのソースコードを入手した人たちの中に、セキュリティ研究者も含まれていました。
研究者はそのコードを調査し、マルウェアのコードそのものの脆弱性を確認したのでした。
StealCは、被害者のシステムに対し、情報を収集する行為を展開します。
しかしこのStealC自身の脆弱性の効果により、研究者はStealCオペレーターのブラウザおよびハードウェアのフィンガープリントを収集し、アクティブなセッションを監視し、パネルからセッションクッキーを盗み、パネルセッションをリモートで乗っ取ることを可能にしました。
クッキーを盗まれるクッキー泥棒、というわけです。
このことは単にStealCの活動を制限することに関連するだけではないでしょう。
前述のように、マルウェアの領域では、特定のソースコードがさまざまなマルウェアに関連して利用されて動作することが多く確認されています。
StealCを直接利用している脅威アクターだけでなく、StealCのコードをもとにした仕組みを使って犯罪行為を展開する脅威アクターについても、同じように防御側が活動できる可能性もあります。
逆サプライチェーンアタック、的なことになってくるかもしれませんね。
UNO reverse card: stealing cookies from cookie stealers
https://www.cyberark.com/resources/threat-research-blog/uno-reverse-card-stealing-cookies-from-cookie-stealers
| この記事をシェア |
|
|---|
