最近、Sophos Labsのセキュリティ研究者が、有名なアライグマの情報を配布する新しいキャンペーンを追跡しました。. マルウェア, これは、開発者によってサービスとして実行されます, 新しい戦術で更新されました, ターゲットから重要な情報を盗むための技術と手順. アライグマが盗む情報は、犯罪市場で販売するためにアップロードすることができます, または他の目的でサイバー犯罪者によって使用されます.
マルウェアは過度に洗練されていたり革新的ではありません, それでも、サービスとしてのマルウェア (MaaS) モデルは、サイバー犯罪者に機密性の高いユーザーの詳細を危険にさらすことによってお金を稼ぐための迅速かつ簡単な方法を提供します.
アライグマのinfostealer 発見された Cybereasonの研究者による, 「このマルウェアの系統は、最近になって最初に出現しました。 2019, サイバー犯罪者の間ですでに強い支持を確立しています. その人気, 限られた機能セットでも, MaaSに続くマルウェアのコモディティ化の成長傾向の継続を示します (サービスとしてのマルウェア) 彼らの努力をモデル化し、進化させます。」
アライグマInfostealer-As-A-Service
マルウェアはTorベースのコマンドアンドコントロールパネルサーバーから制御されているようです. 他の多くの商用Webベースのサービスと同様に, それは常に新機能とバグ修正で開発中です. 感染したマシンにすでに配備されているマルウェアの自動更新も提供しています, ソフォソは言う. サービスとしてのマルウェアは主にロシア語を話すフォーラムで販売されていますが, また、英語での広告があり、英語でのサポートを提供しています.
アライグマは何ができますか? infostealerはパスワードを収集できます, クッキー, およびWebサイトの自動入力テキスト, クレジットカードの詳細とPIIブラウザを含む. マルウェアは最近クリッパーアップデートを受け取りました, これは、暗号通貨ウォレットをターゲットにできることを意味します, 侵害されたホスト上のファイルを取得またはドロップできます.
アライグママルウェアの費用はいくらですか?
ソフォスの分析によると, エントリーレベル, RaccoonStealerの7日間のサブスクリプションは次のURLで入手できます。 $75. このタイプのマルウェアは誰でも購入できます, 犯罪界での評判に関係なく, 研究者は指摘します. 「アライグマなどのサービスは、初期のサイバー犯罪者が購読できる評判を確立することを可能にします, または購入, より排他的なベンダーからのより高度なマルウェア。」
一部のインフォスティーラーのバイナリやソースコードも無料で入手できることは言及する価値があります. 例えば, Azorult情報スティーラービルダーのひびの入ったバージョンがいくつかのダウンロードサイトに掲載されています. さまざまな攻撃的なセキュリティツールがあることは言うまでもありません, LaZagneのように, 脅威アクターが同じ目的で使用できること. LaZagneツールは特に だるまランサムウェア サイバー犯罪ギャング.
最新のアライグマキャンペーンもSEOを使用しています
「最近のアライグマのサンプルの大部分は、悪意のあるWebサイトを活用した単一のドロッパーキャンペーンを介して配布されています,」ソフォソは言う. 検索エンジン最適化, 略してSEOとして知られています, 情報スティーラーの背後にいるサイバー犯罪者によって最近展開された別の手法です. SEOのトリックは、特定のソフトウェアパッケージを探している人々をナビゲートして、特定の悪意のあるサイトにアクセスし、マルウェアに感染させます. "検索する "[ソフトウェア製品名] Googleの「クラック」は、ライセンス要件をバイパスしたソフトウェアのダウンロードを提供することを目的としたWebサイトへのリンクを返します,」レポートは示しています.
最新のRaccoonキャンペーンには、検索エンジン最適化された悪意のあるサイトが含まれており、Googleの検索結果で上位にランクインしています。. 加えて, 彼らはまた、製品に関するビデオでYouTubeチャンネルで宣伝されています, または海賊版ソフトウェア. 研究者はまた、2つの特定のドメインに根ざしたテレメトリのサンプルに出くわしました: gsmcracktools.blogspot.com と procrackerz.org.
悪意のあるサイトは通常、クラックされた正当なソフトウェアパッケージのリポジトリとして宣伝されます. でも, キャンペーンで配信されたファイルは、実際にはドロッパーになりすました. 潜在的な被害者がそのようなファイルをダウンロードするためにリンクをクリックした場合, アマゾンウェブサービスでホストされているリダイレクタJavaScriptのセットを通過します. それで, 被害者は、スポイトのさまざまなバージョンを配信する複数のダウンロード場所の1つに送られます.
このキャンペーンが非常に成功した理由は、情報提供者の経済学です.
「数十または数百を超える個々のアライグマ俳優を増やしました, これにより、Raccoonの開発者やその他の悪意のあるサービスプロバイダーをサポートするホストに生計を立て、犯罪サービスの改善と拡大を続けることができます。. そして、それらの製品は主に消費者に打撃を与えました—特に, この場合のように, 商用ソフトウェアの無料バージョンの検索を利用する場合,」 ソフォソは結論.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: