VVS Stealerは、名前が示すと通りインフォスティーラー型マルウェアです。
このマルウェアはWindowsを対象とした状態で配布されていることが確認されています。
マルウェアの実行する悪意ある活動そのものよりもその配布形態のほうに特徴のある内容となっています。
どんなものなのでしょうか。
- 配布形式は実行可能形式
VVS StealerそのものはPythonで書かれているのですが、これをそのままPythonのscriptの形式で配布するのではなく、PyInstallerパッケージとして配布します。
PyInstallerは、Pythonアプリケーションとその依存関係のソフトウェアを1つの塊にバンドルし、追加のモジュールを利用段階でインストールすることなくパッケージ化されたアプリケーションを実行できるようにするツールです。
この配布形式で配布された場合、配布先にはPythonの実行のための準備は実行者としては何もする必要がありません。
通常のアプリケーションであれば利用者に負担のない配布形式だといえますが、マルウェアにおいても被害者になりやすい配布形式だといえます。 - 逆コンパイラで通常のソースコードにする
通常、PyInstallerからはその中に含まれているPythonのコードを取り出して内容を確認することができます。
このマルウェアについてもそれが可能です。
しかし取り出したコードはまだこの段階ではpyc形式です。
pyc形式はPythonのコンパイルされた状態のファイルとなっています。
PyInstallerを使って配布物を作成する際に通常のPythonのコードはそのまま実行できるバイナリ形式にコンパイルされた状態で収容されますので、この形式になっています。
これは逆コンパイルするツールを使ってもとの通常のPythonのコードの状態に戻すことができます。
論理的な意味ではこの逆コンパイルによってPythonのコードの状態に戻すことができますが、もともとのPythonのコードにコメントが含まれていたとしてもそれは戻すことはできません。
コンパイル時にコメント部分は破棄されてしまっているため、逆コンパイルしても戻すことができません。
コードの実行の意味ではこれは何ら問題ありませんが、コードの内容理解の意味では大きな制約となります。 - 難読化されたPythonのコード
やっと通常のPythonのコードの状態にまでたどりついたと思ったら、まだでした。
取り出したPythonのコードを閲覧しても、容易にはその内容はわかりません。
取り出したVVS StealerのPythonのコードは難読化されています。
難読化には、Pyarmorが使われています。
Pyarmorは、Pythonのscriptを難読化(コードを分かりにくくする)して保護するためのコマンドラインツールです。
ソースコードの知財保護、不正コピー防止、ライセンス管理(有効期限設定や特定マシンへのバインド)などを目的として作られたツールです。
この目的を達成するために作られたツールですので、簡単には元の読みやすい状態に戻すことはできません。
実に練られた配布物となっています。
このマルウェアは感染すると継続的に情報を抜き出すことができる状態として感染します。
VVS Stealerは、アクティブセッションハイジャックのための機能と、永続化機能が搭載された、Discordデータの収集を実施するマルウェアです。
Discordのトークンを取得することから開始し、それを使って各種ユーザ情報を取得します。
ユーザ名、メールアドレス、電話番号などだけでなく、支払い方法、友達情報なども収集します。
収集先はDiscordのみではなく、多くの種類のWebブラウザに保存されている情報も抜き取ります。
すでにDiscordトークンも利用可能な状態にまで侵害されてしまっていますので、脅威アクターは収集した友達に連絡することもできてしまうことでしょう。
恐ろしいです、感染したことで自分以外にも害が及ぶことになってしまいそうということなのです。
VVS Stealerは、蟻の一穴、天下の破れ、です。
身の回りに注意し、安全をキープしていきましょう。
VVS Discord Stealer Using Pyarmor for Obfuscation and Detection Evasion
https://unit42.paloaltonetworks.com/vvs-stealer/
| この記事をシェア |
|
|---|
