BoryptGrab Stealerは、名前からわかるようにインフォスティーラー型マルウェアです。
大規模に展開されていることが観測されています。
どんな感じで広がっているのでしょうか。
- 舞台はGitHub
配布元として準備が仕込まれる場所はGitHubです。
それっぽいソフトウェアを配布しているという記載内容のリポジトリを多数設置します。
その数、実に100以上です。 - SEO対策
次に会場へお客様を誘い込む手はずを打ちます。
検索エンジン最適化です。
脅威アクターが設置した悪意あるコンテンツを含むリポジトリが、検索エンジンで検索した際に上位に表示されるようにします。
いくつかの悪意あるリポジトリを確認してみると、本家の配布ページのすぐ下など、かなり上位に結果が表示されるようにできてしまっているものも確認されています。 - 自然なダウンロード
ダウンロードは通常のGitHubのダウンロード用のページから始まります。
ファイルの置き場所が他の場所に変更してある、といったこともなく、GitHubのダウンロードページから始まります。
このため、この時点で違和感を感じる被害者は少ないかもしれません。 - .github
ダウンロードページで公開されているのは、.githubです。
.githubは、GitHub Actionsのワークフローを管理したり、Pull Requestテンプレートを置いたりできるものです。
ここに悪意ある内容が仕込んであります。
この公開物をクリックすると、いつのまにか外部のURLへとリダイレクトされ、ZIPファイルのダウンロードページへと進みます。
ZIPファイルのダウンロードページの見た目はGitHubのものとなっていますが、もうその時点でそのサイトは外部Webサイトです。
ここで表示されるZIPファイルのダウンロードをクリックしてしまうと、マルウェアを入手することとなってしまいます。
この段階にはいくつかのパターンがあり、どれかがセキュリティソフトウェアで止められてしまったとしても、別のものが生き残るように狙われているのでしょう。
DLLサイドローディングと暗号化されたランチャーペイロードを使う、という形式のものがあったり、ランチャーEXEをダウンロードするためのVBSスクリプトを使う、というものがあったりします。
.NET実行ファイルからエンコードされたVBスクリプトダウンローダーに連鎖する、というものもありました。 - BoryptGrab
いくつもの経路を経て、侵害環境にBoryptGrabは入り込みます。
入り込むと、BoryptGrabは環境をチェックします。
仮想マシンで実行されていると活動を実施しません。
実行中のプロセスをチェックし、解析されようとしているかを判定します。
動作することにしたら、BoryptGrabは情報収集を開始します。
ブラウザの認証情報、暗号通貨ウォレットのデータ、システムの詳細、そして一般的なファイルを収集します。
TelegramファイルやDiscordトークンを持ち出す機能を搭載した亜種も確認されています。
収集した情報はアーカイブファイルにまとめられ、攻撃者の用意した場所に持ち出されます。
一部の亜種は、PyInstallerバックドアであるTunnesshClientも設置します。
これはリバースSSHトンネルを確立し、攻撃者がコマンドを実行したり、ファイルを移動したり、感染したシステムをプロキシとして使用したりできてしまうツールです。
情報を持っていくだけにとどまらない機能を持っているものがあります。
どのようにしてこの脅威の被害にあうことを回避しましょうか。
そもそものこの脅威の入り口部分は、有償のソフトウェアのダウンロードができる、と説明されているものだったりします。
正規のものではないのです。
違法なものに手を出そうとしたら、加害者ではなく被害者になっていた、という図式です。
こういった領域に足を踏みこまなければよい、ということでしょうか。
New BoryptGrab Stealer Targets Windows Users via Deceptive GitHub Pages
https://www.trendmicro.com/en_us/research/26/c/boryptgrab-stealer-targets-users-via-deceptive-github-pages.html
| この記事をシェア |
|
|---|
