ランサムウェアなどの悪意のあるコンテンツとセットでターゲットに配信される情報窃取ツール

8月 3, 2021 —

次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、「Trash Panda as a Service: Raccoon Stealer Steals Cookies, Cryptocoins and More (Cookie、暗号通貨などを盗み出す MaaS 「Raccoon Stealer」)」と題する調査報告書を公開しました。この調査報告書では、海賊版ソフトウェアを装ったデータ窃取ツールが、どのような方法でクリプトマイナーなどの悪意のあるコンテンツを標的システムに配布し、暗号通貨や情報を盗み出すのかを詳細に解説しています。

ソフォスの上級脅威リサーチャーである Sean Gallagher は、次のように述べています。 「日常生活や仕事の大部分は、Webブラウザから提供されるサービスに依存しています。このような中、情報窃取マルウェアのオペレーターが狙っているのは保存されているWeb認証情報です。Web認証情報を入手すれば、パスワードハッシュだけではアクセスできない数多くのデータにアクセスできるようになるからです。当社が調査をしている攻撃活動では、Raccoon Stealerによってパスワード、Cookie、Webサイトのオートフィル・テキストが窃取されていました。盗まれたデータには、ブラウザに保存されていたクレジットカード情報などの個人情報も含まれます。また、『クリッパー』が最近アップデートされ、暗号通貨取引のクリップボードや宛先情報が変更されたことで、Raccoon Stealerは暗号通貨ウォレットも標的にするようになっています。また、感染したシステム上でのファイル(別のマルウェアなど)の検索やロードが可能です。サイバー犯罪者は、これらのデータを週75ドルで「貸し出し」するサービスなどを通じて、簡単にデータを収益化することができます」

Raccoon Stealerは通常、スパムメールによって拡散されます。しかし、ソフォスが調査したキャンペーンでは、クラッキングされたソフトウェアのインストーラーに見せかけたドロッパーが拡散経路となっています。このドロッパーは、悪意のあるブラウザ拡張機能、YouTubeのクリック詐欺ボット、Djvu/Stop(ホームユーザーを主な標的とするランサムウェア)など、追加の攻撃ツールをRaccoon Stealerにバンドルしています。

今回のRaccoon Stealer攻撃活動のオペレーターは、C&C 通信に初めてTelegramチャットサービスを使用した、とソフォスのリサーチャーは報告しています。

また、Gallagherは次のように述べています。「情報窃取ツールは、サイバー犯罪エコシステムの中で重要な役割を果たしています。短期間での投資回収が可能であり、大規模な攻撃につながる安価なエントリーポイントでもあります。サイバー犯罪者の多くは、盗んだ個人情報を『ダークマーケット』で販売します。そのため、そうした情報を購入したランサムウェア・オペレーターや初期アクセスブローカーなどによる攻撃によって、職場のチャットサービス経由で企業ネットワークに侵入するなどの犯罪が行われています。また、攻撃者は、同じプラットフォーム上の他のユーザーを標的とする攻撃にも認証情報を利用します。盗まれたユーザー認証情報には常に需要があります。中でも需要が高いのは、より多くのマルウェアをホストしたり拡散したりするために利用できる、正規サービスへのアクセスを提供する認証情報です。情報窃取ツールは、それほど大きな脅威ではないように思われていますが、実際は異なります」

そこでソフォスでは、社内のチャットやコラボレーション用オンラインサービスを利用している組織に向けて、多要素認証(MFA)を使用して従業員のアカウントを保護し、業務用リモートサービスにアクセスする全コンピュータに最新のマルウェア対策を導入することを推奨しています。

Sophos Intercept Xは、メモリ内の不審なアクティビティをスキャンしたり、ファイルレス・マルウェアから保護したりするなど、Raccoon Stealerをはじめとするマルウェアの動作と挙動を検知してユーザーを保護します。

ソフォスは、一般ユーザーがマルウェアやサイバー脅威から身を守るために、本人や家族がオンラインコミュニケーションやゲームに使用しているデバイスにSophos Homeなどのセキュリティソリューションをインストールすることを推奨しています。また、いかなるソースのものであっても、ライセンスを受けていないソフトウェアのダウンロードやインストールはしないことがセキュリティ上望ましいです。必ず最初に正規のソフトウェアであることを確認する必要があります。

Raccoon Stealerなどのサイバー脅威に関する詳しい情報は、SophosLabs Uncutをご覧ください。

ソフォスについて

ソフォスは、MDR (Managed Detection and Response) サービス、インシデント対応サービス、およびエンドポイント、ネットワーク、メール、クラウド セキュリティ テクノロジーの幅広いポートフォリオなど、サイバー攻撃を阻止する高度なセキュリティソリューションを提供する世界的なリーダーであり、革新的な企業です。ソフォスは、最大手のサイバーセキュリティ専門プロバイダーの 1つであり、全世界で 60万以上の組織と 1億人以上のユーザーを、アクティブな攻撃者、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、Sophos Central 管理コンソールを介して接続され、企業のクロスドメイン脅威インテリジェンスユニットである Sophos X-Ops を利用しています。Sophos X-Ops のインテリジェンスは、Sophos ACE (Adaptive Cybersecurity Ecosystem) 全体を最適化します。このエコシステムには、お客様、パートナー、開発者、その他のサイバーセキュリティおよび情報技術ベンダーが利用できる豊富なオープン API セットを活用する一元化されたデータレイクが含まれます。ソフォスは、フルマネージド型のソリューションを必要とする組織に、Cyber​​security-as-a-Service を提供します。お客様は、ソフォスのセキュリティ運用プラットフォームを使用してサイバーセキュリティを直接管理することも、脅威ハンティングや修復などソフォスのサービスを使用して社内チームを補完するハイブリッドアプローチを採用することもできます。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じて販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。