Raccoon や Redline などの情報を盗むマルウェアを使用する、少なくとも 34 のロシア語を話すサイバー犯罪グループが、2022 年 1 月から 7 月までに 896,000 件以上の感染から 50,350,000 件のアカウント パスワードを盗みました。
盗まれた資格情報は、暗号通貨のウォレット、Steam、Roblox、Amazon、PayPal のアカウント、および支払いカードの記録に関するものでした。
アナリストがこれらの操作をグローバルに追跡している Group-IB のレポートによると、ほとんどの被害者は米国、ドイツ、インド、ブラジル、インドネシアに拠点を置いていますが、悪意のある操作は 111 か国を標的にしていました。
情報窃盗犯の台頭
2022 年には、情報を盗むマルウェアの配布が前例のないレベルに達し、現在では、違法行為からより多くの利益を得ようとする低スキルのハッカーが関与しています。
Group-IB によると、情報窃取型マルウェアの展開を助長しているサイバー犯罪者は、以前は「 Classiscam 」として知られるフィッシング キャンペーンで「被害者の発信者」として働いていた低レベルの詐欺師です。
「人気のある詐欺Classiscamへの膨大な数の労働者の流入は、[…]ピーク時には、1,000を超える犯罪グループと数十万の偽のWebサイトで構成され、犯罪者がリソースを求めて競争し、新しい方法を模索することにつながりました。利益を上げてください」と Group-IB はコメントしています。
「スティーラーを含むスキームの人気は、参入障壁が低いことで説明できます。プロセスは完全に自動化されているため、初心者は高度な技術的知識を持っている必要はありません。ワーカーの唯一のタスクは、Telegram ボットでスティーラーを使用してファイルを作成し、それにトラフィックを誘導します。」 – グループ IB
現在、Telegram には 34 のアクティブなサイバー犯罪グループがあり、それぞれ約 200 人のメンバーからなる大規模な情報窃盗ギャングとして活動しています。
グループのうち 23 は Redline スティーラーを使用し、8 つは Raccoon を使用し、3 つは独自のカスタム マルウェアを使用しています。
SEKOIAはまた、今週初めに、「Aurora」という名前の別の情報窃盗プログラムがアンダーグラウンド フォーラムで勢いを増しており、すでに 7 つの著名な脅威グループに採用されていることにも言及しました。
インフォスティーラーの活動の増加は、2021 年の 10 か月と 2022 年の 7 か月を比較した Group-IB レポートによってまとめられた統計に示されています。
- 盗まれたパスワード: 50,352,518 (80% 増加)
- 盗まれた Cookie ファイル: 2,117,626,523 (74% 増加)
- 侵害された暗号ウォレット: 113,204 (216% 増加)
- 侵害された支払いカード: 103,150 (81% 増加)
.png)
Group-IB はまた、今年の最初の 7 か月間、攻撃者は Steam、Epic Games、および Roblox のアカウントの窃取に集中し、昨年と比較して 5 倍の増加を記録したことにも言及しています。
電報ベースの操作
テレグラムは、これらのサイバーギャングの活動において、キャンペーンの組織化と、データ窃盗活動に対応する機能構造の維持の両方において、重要な役割を果たしています。
これらのプライベート テレグラム チャネルは、工作員にサポートと技術ガイダンスを提供し、データ抽出ポイントとして機能し、重要なアナウンスをホストし、バグ報告ポータルとして機能し、24 時間年中無休でクライアント用のカスタム マルウェア ビルドを生成できるボットも備えています。
グループは依然として階層的なルールを順守しており、「管理者」がランクの最上位に位置し、情報を盗むマルウェアへのアクセスを「従業員」に月額数百ドルで販売しています。
ワーカは、YouTube ビデオ、BlackSEO、SEO ポイズニング、混入トレント ファイル、または悪意のあるソーシャル メディアの投稿を使用して、マルウェアをドロップするサイトにトラフィックを誘導する責任があります。
ユーザーは、怪しげな場所からのダウンロードを避け、ダウンロードしたすべての実行可能ファイルを開く前にウイルス対策ソリューションでチェックし、システムを最新の状態に保つことで、インフォスティーラーに感染する可能性を最小限に抑えることができます。
Comments