概要
AuraStealerは、最近サイバー犯罪者によって開発された新しいインフォステーラーであり、48のコマンド・アンド・コントロール(C2)ドメインを使用してユーザーを標的としています。このマルウェアは、人気のあるプラットフォームやクラックソフトウェアサイトを通じて広範囲にわたる攻撃キャンペーンで使用されています。
AuraStealerの背景
AuraStealerは2025年中頃、ロシア語のサイバー犯罪フォーラムで初めて登場しました。これは、LummaC2が2025年に取り締まりを受けた後、その後継者として位置づけられました。
このマルウェアは「Basic」と「Advanced」の2つのサブスクリプションモデルで販売されており、「AuraCorp」チームによって広告されています。開発者は5〜11年の経験を有し、プロフェッショナルな開発パイプラインを持っています。
AuraStealerの拡大と進化
研究者によると、初期バージョンは確立されたステーラー(RhadamantysやVidar)よりも未熟でしたが、開発が速く、機能更新も頻繁に行われています。
C2ドメインの解析
研究者は48のAuraStealer C2ドメインをマッピングし、その多くは安価で容易に悪用される.SHOPや.CFDトップレベルドメインを使用しています。
AuraStealerの配布方法
- TikTokスキャム:「ClickFix」TikTokスキャンダルは、WindowsやMicrosoft 365などの製品を無料でアクティベートするという短いビデオを通じてユーザーを誘導します。
- その他の配布方法:AuraStealerは、自己解凍アーカイブや偽のクリーニングツール(「Gcleaner」など)を通じて配布されています。
AuraStealerの機能と対策
攻撃者は、auracorp.cfdでホストされたウェブパネルを使用して感染を管理しています。このパネルにはダッシュボードやログフィルタリング機能があり、Telegramボットとの統合も可能です。
結論
AuraStealerは迅速に進化し、拡大しており、サイバーセキュリティの専門家が注意を払うべき重要なクレデンシャル盗難脅威となっています。