PupkinStealerは、名前からわかるようにインフォスティーラー型マルウェアです。
どのようなものでしょうか。
- ターゲットはWindows
PupkinStealerは、.NET形式で作成された実行ファイルです。
ターゲット環境はWindowsです。
x86環境とx64環境の両方のWindowsで動作するような形式にコンパイルされています。 - 狙い1:ブラウザに保存されたログイン資格情報
動作を開始したPupkinStealerは、ブラウザに保存されたログイン資格情報を抽出します。
ターゲットはChromiumベースのWebブラウザです。
ログイン資格情報はローカルで暗号化された状態で保持されていますが、暗号化キーを取得してデータを復号化して盗みだします。 - 狙い2:TelegramやDiscordのトークン
Telegramは、テキストチャット・ビデオチャットなどが可能なインスタントメッセージアプリケーションです。
Discordは、Windows・macOS・Linux・Android・iOS・Webブラウザで動作する、インスタントメッセージ・ビデオ通話・音声通話・VoIPフリーウェアです。
ローカルに保存されたTelegramやDiscordのファイルからトークンが取得され、アカウントへの不正アクセスが可能となってしまいます。 - 狙い3:被害者の情報
盗み出した資格情報を活用するための追加情報として、脅威アクターは被害者の情報を取得します。
ユーザ名、IPアドレス、デスクトップファイルの収集、デスクトップ画像の取得、などを実施し、これらの情報も持ち去ります。 - 取り出しはTelegram
収集した情報群は、一旦、侵害環境で一つのZipファイルにまとめます。
そして、それをTelegram Bot APIを介してリモートサーバに送信します。
このマルウェアは、永続化機能が搭載されていないことやデータ持ち出しにTelegramの暗号化通信を使用していることなどから、追跡が困難な仕上がりになっています。
このマルウェアはMalware-as-a-Service(MaaS)で提供されていると考えられます。
攻撃を展開する脅威アクター自身は高度な知識を持っていなくても脅威活動を展開することができてしまいます。
マルウェアは次々に新しいものが登場してきます。
立ち止まることなく対策を継続していく必要がありそうです。
PupkinStealer : A .NET-Based Info-Stealer
https://www.cyfirma.com/research/pupkinstealer-a-net-based-info-stealer/
| この記事をシェア |
|
|---|
