悪の抽出器、米国とヨーロッパで混乱を引き起こすデータ窃盗ツール

いくつかのセキュリティ企業の研究者たちは、ユーザーの機密データを盗むために使用される悪の抽出器のようなデータ窃盗ツールが米国とヨーロッパで増加していると報告しています。これらの攻撃は、Recorded Futureによって最初に発見されました。

このデータ窃盗ツールはKodexという会社によって月額59ドルで販売されており、悪の抽出器は資格情報スティーラー、ランサムウェア、Windowsバイパスなど、7つの攻撃モジュールを備えています。

Recorded Futureの脅威インテリジェンスアナリスト、アラン・リスカによると、このデータ窃盗ツールは昨年10月にNulled & Crackedフォーラムで販売されていました。これは本物のツールとしてマーキングされ、ハッキングフォーラムで脅威アクターに宣伝されています。

他のいくつかのセキュリティ研究者や企業も、このデータ窃盗ツールの成長と悪意のある攻撃を観察しており、2023年2月以来、Twitterで彼らの発見を共有しています。

セキュリティ企業Fortinetは、ハクティビストが悪の抽出器を情報窃盗マルウェアとして使用していると述べており、サイバーセキュリティ企業が収集したデータによると、悪の抽出器の成長は2023年3月以降に増加しており、その大部分はフィッシング活動から来ています。

読む: リモートアクセスマルウェアを使用した米国納税者を狙ったフィッシング詐欺

サイバーセキュリティ会社Fortinetは、彼らが観察した攻撃がアカウント確認リクエストを偽装したフィッシングメールから始まったことを述べており、gzip圧縮された実行可能な添付ファイルが含まれています。

この実行可能な添付ファイルは、本物のPDFまたはDropboxファイルのように見えるように作成されていますが、実際にはPython実行プログラムです。

ターゲットがファイルを開くと、Pythonファイルが実行され、NETローダーが起動し、base64エンコードされたPowerShellスクリプトを使用して悪の抽出器の実行可能ファイルを開始します。

初回起動時、マルウェアはシステムの時間とホスト名をチェックして、システムが仮想環境または分析サンドボックスで実行されているかどうかを確認します。もしそうであれば、終了します。

これらは、これらの攻撃に特徴的なモジュールです。

• 日付と時間をチェック
• アンチサンドボックス
• アンチVM
• アンチスキャナー
• FPTサーバー設定
• データを盗む
• 盗まれたデータをアップロード
• ログをクリア
• ランサムウェア

悪の抽出器のデータ窃盗モジュールは、「KK2023.zip」、「Confirm.zip」、「MnMs.zip」という3つのPythonコンポーネントをダウンロードします。最初のプログラムは、Google Chrome、Opera、Firefox、Microsoft Edgeからクッキーを抽出し、さらに多くのプログラムからブラウジング履歴と保存されたパスワードを収集します。

さらに、2番目のモジュールはキーロガーで、ターゲットのキーボード入力を記録し、ローカルフォルダーに保存して外部に送信します。3番目はウェブカメラ抽出器で、抽出器は秘密裏にウェブカメラをオンにし、ビデオまたは写真をキャプチャし、ファイルを攻撃者がレンタルしているサーバーにアップロードします。

これだけでなく、マルウェアはデスクトップやダウンロードフォルダーからさまざまな種類の文書やファイルを抽出し、スクリーンショットをキャプチャし、すべてのデータをオペレーターに送信します。

Kodexのランサムウェアモジュールはローダーに保持されており、アクティブ化されると、製品ウェブサイトから追加ファイル（「zzyy.zip」）をダウンロードします。

これは、7-Zipを利用してパスワードを作成し、被害者のファイルを含むアーカイブなしで、効果的にパスワードなしではアクセスできないようにするシンプルで成功したファイルツールです。

Fortinetによると、悪の抽出器の開発者であるKodexは、2022年10月の初回発売以来、このデータ窃盗ツールに多くの機能を追加しています。また、より安定性を高めるために変更を加え続けています。

読む: Checkpointのセキュリティ研究者がユニークな機能を持つ高速ランサムウェア「Rorschach」を発見