Visual Studio Codeというアプリケーションがあります。
これはVisual Studioという有償のIDE(統合開発環境)にもともと含まれていたエディター部分を切り出して無償公開したものです。
軽量なコードエディタで、様々なコンピュータ言語のコード記述に特化し、拡張機能(プラグイン)で機能を追加していくことができるようになっています。
非常に高速で軽量なため、Web開発、Python、PHPなどのスクリプト言語、クロスプラットフォーム開発などに広く利用されています。
広く利用されている理由の大きな一つは、その拡張性です。
拡張性に注目が集まって利用が広がると、さらに拡張性を増すものも追加公開され、どんどんと正のスパイラルを構成します。
人気が高まると注目するのは通常の開発者だけではありません。
人が集まるところには、脅威アクターも注目します。
悪質なVisual Studio Codeの拡張モジュールが、また確認されています。
Evelynと呼ばれています。
どんなものでしょうか。
- インフォスティーラー型マルウェア
このマルウェアは、開発者の認証情報や暗号通貨関連データなどの機密情報を盗み出すように設計されています。 - 入口はVisual Studio Codeの拡張機能
Visual Studio Codeの拡張機能モジュールは多数公開されています。
そのなかに、Evelynにつながるものが含まれます。
これらの拡張モジュールを手元環境に適用してしまうと、その中に、隠しPowerShellコマンドを起動する悪意のあるダウンローダーDLLが含まれていて、それが実行されます。 - 第2段階のペイロード
隠しPowerShellコマンドが動作するとそれは第2段階のペイロードを取得し、実行します。 - 本体の展開
動作を開始した第2段階のペイロードは、メインのスティーラーペイロードを復号化し、正規のWindowsプロセスのメモリに挿入します。 - Evelyn
Evelynは動作を開始します。
Evelynはさまざまな情報を収集し、ZIPファイルにまとめて外部のFTPサーバに転送します。
集められる情報は、クリップボードの内容、インストールされたアプリの情報、暗号通貨ウォレットの情報、実行中のプロセス、デスクトップのスクリーンショット、保存されたWi-Fi認証情報、システム情報、Google ChromeとMicrosoft Edgeの認証情報と保存されたCookie、などです。
情報収集に際し、マルウェアは情報収集対象のブラウザが動作状態の場合、これを停止して再度起動します。
再度起動する際には、各種オプションを指定し、ヘッドレスモードで起動されます。
ブラウザのセキュリティサンドボックスを無効にし、正当なセキュリティ拡張機能を無効化し、ブラウザログの生成を無効にし、起動通知を抑制し、初期設定ダイアログをバイパスし、popup-blockingを無効にし、ウィンドウを画面外に配置し、ウィンドウサイズを1×1ピクセルで動作するように指定します。
このときのブラウザはヘッドレスで動作していますので、そのWindowsのタスクバーにはブラウザは表示されません。
利用者からすると「ブラウザを使っていたはずなのにいつのまにか終了しているな、なんだろう」くらいのインパクトです。
環境負荷が小さくなるように指定して動作させられますので、こっそり起動していることに気がつくことは簡単ではないかもしれません。
この悪質なVisual Studio Codeの拡張モジュールをインストールしてしまった開発者の環境にはどういった秘密情報があることでしょうか。
侵害された開発者環境は、より広範な組織システムへのアクセスポイントとして悪用される可能性も考えられます。
手元のシステムのみでなく、関係するシステムまでもが危険にさらされることとなります。
またですか、という感じです。
拡張モジュールに関係する脅威情報は、後を絶ちません。
注意していきましょう。
From Extension to Infection: An In-Depth Analysis of the Evelyn Stealer Campaign Targeting Software Developers
https://www.trendmicro.com/en_us/research/26/a/analysis-of-the-evelyn-stealer-campaign.html
| この記事をシェア |
|
|---|
