サイバーニュース.jp

世界のサイバーなニュースを配信

新たなPythonベースのRATがMinecraftアプリを装い機密ユーザーデータを窃取

カテゴリ:

, , , , , , , , ,

概要:Minecraftアプリを装うPython製RATの脅威

Netskopeの脅威研究者らは、「Nursultan Client」と偽装した新たなPythonベースのリモートアクセス型トロイの木馬(RAT)を発見しました。このマルウェアは、東欧およびロシアのゲーミングコミュニティで人気の正規Minecraftアプリケーションを装っています。攻撃者はTelegram Bot APIをコマンド&コントロール(C2)チャネルとして悪用し、盗んだデータを外部に送信し、侵害されたマシンへの永続的なアクセスを維持します。この発見は、サイバー犯罪者が悪意のあるMOD、チート、偽造ツールを通じてゲーミングコミュニティを標的にする、憂慮すべき傾向を浮き彫りにしています。

マルウェアの実行と欺瞞の手口

このPython製RATは、脅威ハンティング活動中にPyInstallerでコンパイルされた68.5MBの実行ファイルとして最初に発見されました。PyInstallerは正規の目的で広く使用されるツールですが、マルウェア作成者は悪意のあるPythonスクリプトとその依存関係をスタンドアロンファイルにパッケージ化するために頻繁に悪用します。実行されると、マルウェアはすぐに欺瞞的な戦術を用い、「Nursultan Client」という名前の偽のインストールプログレスバーを表示して、ユーザーに正規のソフトウェアをインストールしていると信じ込ませます。一部の永続化および認証情報窃取メカニズムはWindows固有ですが、マルウェアのコアC2通信および監視機能はWindows、Linux、macOSシステム全体で動作するため、潜在的な被害者層が劇的に拡大します。攻撃者が偽のインストールメッセージと永続化レジストリキーの両方でNursultan Clientの名前を使用していることは、ゲーミングコミュニティを欺くために特別に設計された、意図的なソーシャルエンジニアリング戦略を示しています。

Telegramを悪用したC2通信

このマルウェアの運用基盤は、コマンド実行とデータ外部送信のためにTelegramのBot APIに完全に依存しています。永続化コードは生のPythonスクリプト用に設計されており、コンパイルされた実行ファイルの起動コマンドを誤って構築しています。セキュリティ研究者は、実行ファイル内にボットトークンや承認済みユーザーIDを含むハードコードされたTelegram認証情報を発見しました。このアプローチにより、脅威アクターはプライバシー重視のメッセージングサービス内に悪意のある通信を隠すことができ、セキュリティチームによる検出が著しく困難になります。承認された攻撃者のみが感染マシンにコマンドを発行できるため、標的型操作を開始するための制御された環境が作成されます。

マルウェアの多様な機能

このマルウェアの兵器庫には、単純なテキストコマンドでアクセスできる多数の危険な機能が含まれています。

  • 「/tokens」コマンドは、Discordクライアントのローカルストレージファイルをスキャンし、Chrome、Edge、Firefox、Opera、Braveなどの主要なWebブラウザを検索することで、Discord認証トークンを具体的に標的にします。盗まれたDiscordトークンは、ユーザーアカウントを乗っ取り、ゲーミングコミュニティを侵害するために悪用される可能性があります。
  • 「/info」コマンドは、コンピュータ名、ユーザー名、オペレーティングシステムバージョン、プロセッサ情報、メモリおよびディスク使用量データ、ローカルおよび外部IPアドレスを収集し、詳細なシステム偵察を実行します。システムプロファイルはロシア語でフォーマットされており、マルウェア作成者の署名「by fifetka」が含まれています。
  • 認証情報の窃取に加えて、このRATは「/screenshot」および「/camera」コマンドを通じて監視機能を提供し、攻撃者がデスクトップのスクリーンショットやウェブカメラの写真をキャプチャし、Telegramチャネルを通じて直接送信することを可能にします。
  • アドウェア機能により、攻撃者は被害者のブラウザで任意のURLを開いたり、ポップアップメッセージや画像を表示したりすることができ、フィッシング攻撃や悪意のある広告を促進する可能性があります。

下位層の脅威オペレーションと対策

高度な分析回避技術、カスタムコード難読化、およびハードコードされた「ALLOWED_USERS」ライセンス構造の欠如は、高度な持続的脅威グループではなく、下位層の脅威アクター向けに設計されたMalware-as-a-Service(MaaS)操作であることを示唆しています。機能豊富な能力にもかかわらず、分析はマルウェア作成者が洗練されたトレードクラフトを欠いていることを明らかにしています。欠陥のある永続化メカニズムは、誤ったPythonパス構築と一時的なPyInstallerディレクトリへの依存により、失敗する可能性が高いでしょう。

組織は、暗号化されたトラフィックへの深い可視性を実装し、疑わしいTelegram API通信を監視し、ユーザーにソフトウェアの信頼性をインストール前に確認するよう教育することで、この新たな脅威からのリスクを軽減する必要があります。

元記事: https://gbhackers.com/python-based-rat/

投稿をさらに読み込む