Vidal stealerが、Mastodonソーシャルメディアネットワークを悪用し、C2構成を取得する新しい攻撃方法として復活したことがわかりました。
このマルウェアは、少なくとも2018年10月から活動しており、数多くの異なる攻撃で確認されています。
これほど広く展開されている理由は、そのツールがとても効果的であることと、150ドルという低価格で販売されているTelegramチャンネルやアンダーグラウンドフォーラムを通じて調達することが容易であることです。
Vidarが感染したマシンから盗み出そうとするデータには、以下のようなものがあります。
- パスワード、クッキー、履歴、クレジットカードの詳細など、一般的なブラウザの情報すべて
- 暗号通貨のウォレット
- TAから与えられた正規表現の文字列に従ったファイル
- WindowsバージョンのTelegramの認証情報
- ファイル転送アプリケーション情報(WINSCP、FTP、FileZilla)
- メールアプリケーション情報
この攻撃の特徴は、Vidarがオープンソースの人気ソーシャルメディアネットワークであるMastodonを悪用して、動的設定とC2接続を取得したことです。
脅威グループは、Mastodonにアカウントを設定し、自分のプロフィールの説明欄に、窃盗犯が使用するC2のIPを追加します。
Mastodonは信頼されたプラットフォームであるため、セキュリティツールで警告が表示されることはありません。同時に、Mastodonは比較的監視されていない空間であるため、このような悪意のあるプロファイルが発見され、報告され、削除される可能性は低いと考えられます。
この攻撃を発見したCyberint社の研究者によると、発見した各C2には500~1,500の異なる攻撃IDが含まれており、Vidalの展開が広範囲に及ぶことを示しています。
実行時には、設定のためのPOSTリクエストが送信され、その後、Vidarは一連のGETリクエストを介してC2サーバから6つの依存関係にあるDLLを取得します。これらは、ネットワークサービス、MS Visual Studioランタイムなどの正当なサードパーティDLLです。
これらのDLLを利用して、Vidarは電子メールの認証情報、チャットアカウントの詳細、ウェブブラウジングのクッキーなどのデータを盗み、すべてをZIPアーカイブに圧縮し、HTTP POST経由で攻撃者にアーカイブを転送します。
これが終了するとVidarは自身のプロセスを終了し、DLLとメインの実行ファイルを削除して、被害者のマシンに存在した証拠をすべて消し去ろうとします。
厄介なVidarの感染に悩まされないためには、保留中の注文や支払い、荷物の配送などを語る迷惑メールに注意しましょう
また、人気のあるソーシャル・メディア・プラットフォーム上のダイレクト・メッセージや、トレントでダウンロードしたゲーム・クラックに混入させて配布するという方法もあります。
Comments