ランサムウェアなどの悪意のあるコンテンツとセットでターゲットに配信される情報窃取ツール

8月 3, 2021 —

次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、「Trash Panda as a Service: Raccoon Stealer Steals Cookies, Cryptocoins and More (Cookie、暗号通貨などを盗み出す MaaS 「Raccoon Stealer」)」と題する調査報告書を公開しました。この調査報告書では、海賊版ソフトウェアを装ったデータ窃取ツールが、どのような方法でクリプトマイナーなどの悪意のあるコンテンツを標的システムに配布し、暗号通貨や情報を盗み出すのかを詳細に解説しています。

ソフォスの上級脅威リサーチャーである Sean Gallagher は、次のように述べています。 「日常生活や仕事の大部分は、Webブラウザから提供されるサービスに依存しています。このような中、情報窃取マルウェアのオペレーターが狙っているのは保存されているWeb認証情報です。Web認証情報を入手すれば、パスワードハッシュだけではアクセスできない数多くのデータにアクセスできるようになるからです。当社が調査をしている攻撃活動では、Raccoon Stealerによってパスワード、Cookie、Webサイトのオートフィル・テキストが窃取されていました。盗まれたデータには、ブラウザに保存されていたクレジットカード情報などの個人情報も含まれます。また、『クリッパー』が最近アップデートされ、暗号通貨取引のクリップボードや宛先情報が変更されたことで、Raccoon Stealerは暗号通貨ウォレットも標的にするようになっています。また、感染したシステム上でのファイル(別のマルウェアなど)の検索やロードが可能です。サイバー犯罪者は、これらのデータを週75ドルで「貸し出し」するサービスなどを通じて、簡単にデータを収益化することができます」

Raccoon Stealerは通常、スパムメールによって拡散されます。しかし、ソフォスが調査したキャンペーンでは、クラッキングされたソフトウェアのインストーラーに見せかけたドロッパーが拡散経路となっています。このドロッパーは、悪意のあるブラウザ拡張機能、YouTubeのクリック詐欺ボット、Djvu/Stop(ホームユーザーを主な標的とするランサムウェア)など、追加の攻撃ツールをRaccoon Stealerにバンドルしています。

今回のRaccoon Stealer攻撃活動のオペレーターは、C&C 通信に初めてTelegramチャットサービスを使用した、とソフォスのリサーチャーは報告しています。

また、Gallagherは次のように述べています。「情報窃取ツールは、サイバー犯罪エコシステムの中で重要な役割を果たしています。短期間での投資回収が可能であり、大規模な攻撃につながる安価なエントリーポイントでもあります。サイバー犯罪者の多くは、盗んだ個人情報を『ダークマーケット』で販売します。そのため、そうした情報を購入したランサムウェア・オペレーターや初期アクセスブローカーなどによる攻撃によって、職場のチャットサービス経由で企業ネットワークに侵入するなどの犯罪が行われています。また、攻撃者は、同じプラットフォーム上の他のユーザーを標的とする攻撃にも認証情報を利用します。盗まれたユーザー認証情報には常に需要があります。中でも需要が高いのは、より多くのマルウェアをホストしたり拡散したりするために利用できる、正規サービスへのアクセスを提供する認証情報です。情報窃取ツールは、それほど大きな脅威ではないように思われていますが、実際は異なります」

そこでソフォスでは、社内のチャットやコラボレーション用オンラインサービスを利用している組織に向けて、多要素認証(MFA)を使用して従業員のアカウントを保護し、業務用リモートサービスにアクセスする全コンピュータに最新のマルウェア対策を導入することを推奨しています。

Sophos Intercept Xは、メモリ内の不審なアクティビティをスキャンしたり、ファイルレス・マルウェアから保護したりするなど、Raccoon Stealerをはじめとするマルウェアの動作と挙動を検知してユーザーを保護します。

ソフォスは、一般ユーザーがマルウェアやサイバー脅威から身を守るために、本人や家族がオンラインコミュニケーションやゲームに使用しているデバイスにSophos Homeなどのセキュリティソリューションをインストールすることを推奨しています。また、いかなるソースのものであっても、ライセンスを受けていないソフトウェアのダウンロードやインストールはしないことがセキュリティ上望ましいです。必ず最初に正規のソフトウェアであることを確認する必要があります。

Raccoon Stealerなどのサイバー脅威に関する詳しい情報は、SophosLabs Uncutをご覧ください。

ソフォスについて

ソフォスは、サイバー攻撃に打ち勝つための高度なセキュリティソリューションのグローバルリーダーです。2025年2月にセキュアワークスを買収し、MDRを中心にAIに最適化されたサービス、テクノロジー、製品を提供するサイバーセキュリティ業界の先駆者として、新たな展開を迎えました。ソフォスは現在、28,000以上の組織をサポートする世界最大のMDR(Managed Detection and Response)プロバイダーとなりました。ソフォスのポートフォリオには、先進的エンドポイントやネットワーク、メール、クラウドセキュリティが含まれ、Sophos Centralプラットフォームを通じて統合的防御を提供しています。セキュアワークスは、Taegis、ID脅威検出と対応(ITDR)、次世代 SIEM、リスク管理、包括的なアドバイザリーサービスを提供しています。ソフォスは、これらすべてのソリューションを、世界中のリセラーパートナー、マネージドサービスプロバイダー(MSP)、マネージドセキュリティサービスプロバイダー(MSSP)を通じて提供することで、フィッシング、ランサムウェア、データ盗難、などの日常的なサイバー犯罪や、国家主導型サイバー攻撃から世界60万以上の組織を守っています。このソリューションは、Sophos X-Opsによる脅威インテリジェスと、新たに統合されたCounter Threat Unit (CTU) のデータによって強化されます。ソフォスは英国オックスフォードに本社を置いています。詳細は www.sophos.com をご覧ください。