マルウェアはブラウザの亜種、暗号ウォレット、パスワードマネージャーを標的にしている

マルウェアはブラウザの亜種、暗号ウォレット、パスワードマネージャーを標的にしている
Meduza マルウェアのターゲット。
画像: Sashkin/Adone Stock

サイバーセキュリティ企業Uptycsのレポートによると、「Meduza Stealer」と呼ばれる新たなマルウェアは、多数のブラウザ、パスワードマネージャー、暗号通貨ウォレットから情報を盗むことができる。このマルウェアはWindowsオペレーティングシステムを標的として開発された。

Uptycsの調査によると、「現時点では特定の攻撃は確認されていない」とのことですが、これはMeduza Stealerが新しいマルウェアであるためと考えられます。Meduza Stealerは、マルウェアを拡散する侵害されたウェブサイトやフィッシングメールなど、情報窃取型マルウェアによく用いられる手法で拡散されている可能性が非常に高いと考えられます。

Medusa Stealer が起動されると何が起こるのか、このマルウェアがサイバー犯罪者にどのように宣伝されるのか、そしてこのサイバーセキュリティの脅威から会社を守るためのヒントを学びます。

ジャンプ先:

  • Meduza Stealer が起動すると何が起こりますか?
  • Meduza Stealerの強力な窃盗能力
  • Meduza Stealerがサイバー犯罪者に広まる仕組み
  • サイバーセキュリティの脅威から身を守る方法

Meduza Stealer が起動すると何が起こりますか?

Meduza Stealer が起動すると、マルウェアは Windows の GetUserGeoID 関数を使用して位置情報の確認を開始します。この関数は、実際の位置情報ではなく、システム設定に基づいて国名の値を検索します。結果がロシア、カザフスタン、ベラルーシ、ジョージア、トルクメニスタン、ウズベキスタン、アルメニア、キルギスタン、モルドバ、タジキスタンのいずれかである場合、マルウェアは動作を停止します。

マルウェアの次のステップは、感染システムの基本情報を収集する前に、攻撃者のサーバーに到達できるかどうかを確認することです。収集対象となる情報には、コンピューター名、CPU/GPU/RAM/ハードウェアの詳細、オペレーティングシステムのバージョンの正確なビルド情報、タイムゾーンと現在時刻、ユーザー名、パブリックIPアドレス、実行パス、画面解像度などがあります。Meduza Stealerはスクリーンショットも作成します。これで、マルウェアは窃取活動の準備が整います(図A)。

図A

Meduza Stealer のワークフロー。
Meduza Stealerのワークフロー。画像:Uptycs

Meduza Stealerの強力な窃盗能力

ブラウザ

Meduza Stealerはユーザーデータフォルダ内のデータを探し出し、ブラウザの履歴、Cookie、ログイン情報、ウェブデータといったブラウザ関連情報を探します。マルウェアには97種類のブラウザ亜種のリストが埋め込まれており、ブラウザからのデータをすべて逃さないための多大な努力が伺えます(図B)。Chrome、Firefox、Microsoft Edgeは、リストに含まれるブラウザのほんの3つにすぎません。

図B

Meduza Stealerマルウェアコードに埋め込まれたブラウザリスト。画像:Uptycs

パスワードマネージャー

Meduza Stealerは、拡張機能IDに基づいて19のパスワードマネージャーを標的としています(図C)。LastPass、1Password、Authyは、リストに挙げられているパスワードマネージャーのうちの3つにすぎません。

図C

Meduza Stealer の標的となるパスワード マネージャー。
Meduza Stealerの標的となったパスワードマネージャー。画像:Uptycs

このマルウェアは、特に2要素認証やパスワードマネージャーに関連する拡張機能を標的とし、データの抽出を狙っています。これらの拡張機能は重要な情報を保持しており、脆弱性が含まれている可能性があります。攻撃者は2要素認証コードへのアクセスやパスワードマネージャー拡張機能の脆弱性を悪用することで、セキュリティプロトコルを回避し、ユーザーアカウントへの不正アクセスを実行できる可能性があります。

暗号通貨ウォレット

現在、Meduza Stealer の標的となっている暗号通貨ウォレットは 76 個あります。

Uptycs Threat Researchによると、「このマルウェアは、ソフトウェアプラグインやアドオンを介してウェブブラウザから暗号資産ウォレット拡張機能を抽出しようとします。これらの拡張機能は、ChromeやFirefoxなどのウェブブラウザ内で暗号資産を直接管理することを可能にします。これらの拡張機能は、アカウント残高の監視や暗号資産取引明細の確認といった機能を提供します。」

マルウェアは、さまざまな Windows レジストリ キーから構成と関連データを取得します。

  • HKCU\ソフトウェア\Etherdyne\Etherwall\geth
  • HKCU\SOFTWARE\monero-project\monero-core
  • HKCU\ソフトウェア\DogecoinCore\DogecoinCore-Qt
  • HKCU\ソフトウェア\BitcoinCore\BitcoinCore-Qt
  • HKCU\ソフトウェア\LitecoinCore\LitecoinCore-Qt
  • HKCU\SOFTWARE\DashCore\DashCore-Qt

対象となるアプリケーションの増加

Telegram デスクトップ アプリケーションはマルウェアによってスキャンされており、このアプリケーションに固有の Windows レジストリのエントリが検索されます。

このマルウェアは、Windowsレジストリに保存されている可能性のあるSteamゲームシステムアプリケーションデータも探します。Steamがコンピューターにインストールされている場合、そこから取得できるデータには、ログインデータ、セッション情報、ユーザー固有の設定、その他の構成データが含まれます。

Discord はマルウェアの標的となるもう一つのアプリケーションで、Discord フォルダにアクセスし、構成やユーザー固有のデータなどの情報を収集します。

Meduza Stealerがサイバー犯罪者に広まる仕組み

Uptycsの研究者によると、Meduza Stealerの管理者は「洗練されたマーケティング戦略」を使用して、複数のサイバー犯罪者のマーケットプレイスやフォーラムでマルウェアを宣伝しているという。

まず、攻撃者は、ウイルス対策ソフトウェアの検出結果の大部分のスクリーン キャプチャをためらうことなく提供し、静的か動的かにかかわらず、26 のウイルス対策ソリューションのうち 1 つのソリューション (ESET) だけがこれを検出したことを示しています。

より多くの顧客を引き付けるため、盗まれたデータへのアクセスはウェブパネル(図D)を通じて提供されています。潜在顧客には、1ヶ月199ドル、3ヶ月399ドル、または生涯プランといった様々なサブスクリプションオプションが提示されます。

図D

Meduza Stealer Web パネル。機密データは削除されました。
Meduza Stealerのウェブパネル。機密データは削除されています。画像:Uptycs

ユーザーがサブスクリプションに登録すると、Meduza Stealerのウェブパネルにフルアクセスできるようになります。このパネルでは、IPアドレス、コンピュータ名、国名、感染したコンピュータに保存されているパスワード、ウォレット、Cookieの数などの情報が提供されます。その後、ユーザーはウェブパネルから盗み出したデータを直接ダウンロードまたは削除できます。この前例のない機能は非常に便利です。データ削除によって情報が即座に削除されるため、他のユーザーがその情報を使用することができなくなります。

サイバーセキュリティの脅威から身を守る方法

一般的な脆弱性による侵害を避けるため、すべてのオペレーティングシステムとソフトウェアを最新の状態に更新し、パッチを適用することを強くお勧めします。特にブラウザは最新の状態にしておく必要があります。また、攻撃対象領域を減らすため、プラグインはできるだけ少なくしてください。

また、攻撃者が有効な資格情報を所有していても企業のリソースにアクセスできないように、可能な場合は多要素認証を導入することをお勧めします。

エンドポイントとサーバーには、脅威を検知するための監視機能を備えたセキュリティソリューションを導入する必要があります。また、企業のエンドポイントでは、UptycsがMeduza Stealerの検知に提供しているYARA検知ルールなどを実行することも推奨されます。

開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。

Tagged: