Data

情報窃取マルウェア市場は常に進化しており、複数のマルウェア運用が、より適切な回避と被害者からデータを盗む能力の向上を促進することで、サイバー犯罪顧客をめぐって競合しています。

情報スティーラーは、感染したシステムからアカウントのパスワード、Cookie、クレジット カードの詳細、暗号通貨ウォレットのデータを盗むために使用される特殊なマルウェアで、これらのデータは「ログ」と呼ばれるアーカイブに収集され、攻撃者にアップロードされます。

これらの盗まれたデータのログは、さらなる攻撃を促進するために使用されたり、被害者に応じて 1 ドルから 150 ドルの範囲の価格で市場で販売されたりします。

サイバーセキュリティインテリジェンス企業KELA は、2023 年の第 1 四半期に大幅に増加した亜種とサービスとしてのマルウェア (MaaS) 運用の台頭を示すレポートをまとめ、それに伴う組織や個人のリスクを高めています。

サイバー脅威インテリジェンスアナリストのヤエル・キション氏は、「このレポートでは、Titan、LummaC2、WhiteSnakeなど、サイバー犯罪地下組織から最近出現し、すでに脅威アクターの間で人気を集めている、新たな情報窃取者に焦点を当てている」とサイバー脅威インテリジェンスアナリストのヤエル・キション氏は述べた。

新たな情報窃取者

RedLine、Raccoon、Vidar などの古いマルウェア ファミリは引き続き重要な存在感を示しており、Aurora、Mars、Meta などの新しいマルウェア ファミリも依然として成長を続けていますが、今年は新しいマルウェア ファミリもその名を知ろうとしています。

Raccoon は依然として最も多作な MaaS である
Raccoon は依然として最も多作な MaaS 事業を行っている(KELA)

KELA は、過去 1 年間に開始された次の 4 つの情報窃取活動を強調しています。

Titan : Titan は、2022 年 11 月にロシア語を話すハッカー フォーラムに初めて登場し、20 の Web ブラウザーに保存されているデータをターゲットとする Go ベースの情報窃取者として宣伝されました。

その Telegram チャンネルの登録者数は 600 人を超えています。作成者は 2023 年 3 月 1 日にバージョン 1.5 をリリースし、4 月 14 日に今後の新しいバージョンを予告しました。これは、これが非常に活発なプロジェクトであることを示しています。

Titan の新バージョンが Telegram で発表されました
Titan の新バージョンが Telegram で発表されました
出典: ケラ

Titan は、月額 120 ドル (初心者)、月額 140 ドル (上級)、または月額 999 ドル (チーム) で販売されています。

LummaC2 : LummaC2 は、70 を超えるブラウザ、暗号通貨ウォレット、および 2 要素認証拡張機能をターゲットとしています。

2023年1月に、このプロジェクトは現在1000人以上の加入者を抱えるTelegram上で再起動され、2023年2月からは「RussianMarket」を通じて購入できるようになった。

LummaC2 の価格帯
LummaC2 のサブスクリプション層
出典: ケラ

LummaC2 は、選択した機能に応じて月額 250 ドルから 1000 ドルで販売されており、KELA 氏によると、このマルウェアはサイバー犯罪アンダーグラウンドで非常に高い評判を得ています。

LummaC2 は再販業者プログラムも実行しており、エージェントがプラットフォームに導入する新規サブスクリプションに対して 20% の割引を与えます。

Stealc : 2023 年 2 月にSEKOIAによって初めて分析された Stealc は、22 を超える Web ブラウザ、75 のプラグイン、25 のデスクトップ ウォレットをターゲットとする自動窃盗機能を備えた軽量スティーラーです。

月額 200 ドルで販売されており、その人気は高まり続けています。

Stealc 作者がロシアのフォーラムでマルウェアを宣伝
Stealc 作者がロシアのフォーラムでマルウェアを宣伝
出典: ケラ

以前は、ひも状のクラックされたソフトウェアを宣伝する YouTube 動画を通じて配布されているのが確認されていました。

WhiteSnake : この株は、2023 年 2 月にハッカー フォーラムで初めて電子メール、テレグラム、スチーム、暗号通貨ウォレット スティーラーとして宣伝されました。

Windows と Linux の両方のシステムをターゲットにできることは、この分野では珍しいことです。

ホワイトスネークのプロモーションページ
ホワイトスネークのプロモーションページ
出典: ケラ

WhiteSnake には Telegram で 750 人以上の加入者がおり、月額 140 ドル、または生涯アクセスの場合は 1,950 ドルで販売されています。

ログのクラウド

KELAのレポートでは、最近登場した「Clouds of Logs」という名前の新しい製品タイプも強調している。これは、情報窃盗マルウェアを配布する脅威アクターが作成した、プライベートクラウドでホストされるログコレクションにアクセスするためのサブスクリプションを販売するものだ。

ログのクラウドは、自動化されたログ マーケットに代わるよりプライベートで、おそらくより安全な代替手段であり、データ販売者が仲介業者の介入なしに活動を収益化する簡単な方法を提供するために作成されました。

Telegram でプライベート ログ リポジトリを宣伝する販売者
Telegram でプライベート ログ リポジトリを宣伝する販売者
出典: ケラ

競争力のある価格設定の新しい情報窃盗ツールの出現により、特に月額わずか 120 ドルで販売される Titan の場合、サイバー犯罪者の参入障壁が低くなります。

KELA は、Malware-as-a-Service 市場は今年もその人気を維持し、そのため情報窃盗ツールの使用が引き続き大量に発生すると考えています。