Noodlophile Stealerは、インフォスティーラー型マルウェアです。
これまで多くのこの種のマルウェアがでてきていますが、また新たなインフォスティーラーが登場しています。
どのように忍び寄ってくるのでしょうか。
- FacebookでAI機能を持つサイトを宣伝する
脅威アクターは、Facebook上にAIツールを公開している旨を記載したコンテンツを用意し待ち受けます。
以前であればAIツールは目新しい感じがしたのでそのようなコンテンツを見かけると中身をじっくり確認するようなこともあったでしょう。
しかし最近のようにAIツールが一般化してくると、気軽に試してみようという気持ちになるかもしれません。 - AIによるコンテンツ作成サービス
誘い込まれるサイトで提供されているのはAIによるコンテンツ作成サービスです。
素材となる画像や動画を入力すると、AIで処理された成果物のビデオファイル(mp4形式)がダウンロードできるようなサービスになっています。
最初の30日間は無料で試せると記載されているので、やってみようという気持ちになる人は多いでしょう。 - 成果物のダウンロード
利用者はAIで処理された成果物をダウンロードして内容を確認しようとします。
ここで少しややこしいことになります。
生成されたビデオファイルをダウンロードして閲覧しようとしたとユーザは思っているのですが、実際にダウンロードされたzipファイルの中には、ビデオ編集ツールの実行ファイルも含まれます。
このビデオ編集ツールは正規のツールを単に再配布したものとなっているのでこれそのものは有害ではないのですが、そのツールと一緒に不要なものも届けられます。
しかし正規のツールが一緒に届けられることで、正しい署名のあるアプリケーションがダウンロードされて実行されたというようにユーザの手元環境のセキュリティソフトウェアが認識することが狙われたことに思えます。
そしてビデオ編集ツールの実行ファイルだけでなく、成果物のビデオファイルに見えるものも含まれます。 - 成果物のビデオファイルに見えるものを開く
成果物のビデオファイルに見えるものは、ビデオファイルではありません。
このファイルは、ファイル名が「~.mp4.exe」のようになっていて、そのユーザがファイル拡張子の表示を無効にしている場合、それは「~.mp4」のように表示されます。
冷静に考えるとファイル拡張子を表示しない設定のWindowsで本当にmp4のファイルを見た場合は「~.mp4」というファイル名ならそれは「~」のように表示されるはずなのですが、ここに気がつく人は多くないのかもしれません。
ユーザは入手したビデオファイルに見えるexeを実行してしまいます。 - マルウェアの設置
exeを実行した結果、ユーザの環境にはマルウェアが設置されます。
設置の流れは非常に複雑です。
ユーザの環境にどのようなセキュリティソフトウェアがあるのかによっても設置内容が変化します。
PE Hollowingで現地のexeに寄生するように設置されたり、シェルコード・インジェクションを用いてメモリ内実行が実行されたりします。 - Noodlophile Stealer
設置されるマルウェアはNoodlophile Stealerです。
これは、アカウント認証情報、セッション Cookie、トークン、暗号資産ウォレットファイルなど、Webブラウザに保存されているデータを標的とする新しい情報窃取マルウェアです。
あわせてXWormのようなリモートアクセス型トロイの木馬が展開されることもあります。
取得した情報はC2動作するTelegramボットを経由して脅威アクターの手元に届きます。
AIツールは一般化が進んでいます。
いろいろな機能を持つサービスが登場していて、魅力あるものが多くあります。
しかし、慣れた利用者に忍び寄る脅威アクターの存在は注意が必要です。
入手したファイルが意図したものなのか、注意して確認してから利用する必要があります。
New Noodlophile Stealer Distributes Via Fake AI Video Generation Platforms
https://www.morphisec.com/blog/new-noodlophile-stealer-fake-ai-video-generation-platforms/
| この記事をシェア |
|
|---|
