新たな情報窃取型マルウェア「SantaStealer」が登場
ITセキュリティ研究者たちは、新たな情報窃取型マルウェア「SantaStealer」の台頭を警告しています。このマルウェアは、MaaS(Malware-as-a-Service)としてTelegramやハッカーフォーラムで宣伝されており、メモリ上で動作することでファイルベースの検出を回避すると謳われています。セキュリティ研究機関Rapid7の報告によると、SantaStealerは「BluelineStealer」という既存プロジェクトのリブランディングであり、開発者は年末の本格稼働に向けて準備を進めている模様です。
提供価格と開発者の背景
SantaStealerは、ロシア語を話す開発者によるプロジェクトと見られており、2つのサブスクリプションプランが提供されています。ベーシックプランは月額175ドル、プレミアムプランは月額300ドルです。
Rapid7による分析結果:誇大広告の可能性
Rapid7はSantaStealerのサンプルを分析し、アフィリエイト向けのウェブパネルへのアクセスも試みました。その結果、このマルウェアは複数のデータ窃取メカニズムを備えているものの、**宣伝されているほどの検出回避能力は持たない**ことが判明しました。Rapid7の研究者は「これまでに確認されたサンプルは、検出困難どころか、分析も困難ではない」と述べています。
また、**開発者の運用上のセキュリティの甘さ**も指摘されており、シンボル名や暗号化されていない文字列を含むサンプルがリークされています。これは、開発に投入された努力を無駄にし、脅威アクターの運用セキュリティの低さを示唆しています。
SantaStealerの機能と標的
アフィリエイト向けウェブパネルは使いやすいデザインで、顧客は広範囲なデータ窃取から特定のデータのみを狙うリーンなペイロードまで、自身のビルドを細かく設定できます。
SantaStealerは、14種類のデータ収集モジュールを使用し、それぞれが独立したスレッドで動作します。窃取されたデータはメモリに書き込まれた後、ZIPファイルにアーカイブされ、10MB単位でハードコードされたC2(コマンド&コントロール)エンドポイント(ポート6767)を通じて外部に送信されます。
標的となる主な情報:
- ブラウザデータ(パスワード、Cookie、閲覧履歴、保存されたクレジットカード情報)
- Telegram、Discord、Steamのデータ
- 仮想通貨ウォレットアプリおよび拡張機能
- 各種ドキュメント
- デスクトップのスクリーンショット撮影機能
検出回避技術と潜在的な拡散方法
このマルウェアは、組み込みの実行ファイルを利用して、2024年7月に導入されたChromeのApp-Bound Encryption保護を回避します。これは、他のアクティブな情報窃取型マルウェアによっても既に回避されている技術です。
その他の設定オプションとして、CIS(独立国家共同体)地域のシステムを除外したり、実行を遅延させて被害者を欺く機能も備わっています。
SantaStealerはまだ本格的に稼働し、大規模に拡散されているわけではありませんが、サイバー犯罪者は近年、以下のような手法を好んで使用しています。
- ClickFix攻撃:ユーザーを騙して危険なコマンドをWindowsターミナルに貼り付けさせる手法。
- フィッシング詐欺
- 海賊版ソフトウェアやトレントダウンロード
- 悪質な広告(マルバタイジング)
- YouTubeコメントなど
セキュリティ対策の推奨
Rapid7は、ユーザーに対し、認識できないメールのリンクや添付ファイルを確認することを推奨しています。また、公開リポジトリからの**未検証のコードの実行には細心の注意を払う**よう警告しています。