概要
CharlieKirk Grabberは、Pythonで作成されたWindows用の情報窃取マルウェアです。このマルウェアは、ブラウザに保存されているパスワードやWi-Fiキー、Discordトークン、ゲームセッションなどの認証情報を素早く盗み取ります。
特徴
CharlieKirk Grabberは、迅速な「スモッシュ・アンド・グラブ」型の脅威として機能します。これは、長期的なシステム制御や破壊的行動ではなく、即座にデータを盗み取ります。
動作方法
- マルウェアは、
TASKKILLと他のWindowsユーティリティを使用してアクティブなブラウザプロセスを強制終了し、データアクセスのために必要な情報を取得します。 - Chromeベースのブラウザからマスターキーを抽出し、AES-GCM暗号化で保存されたログイン情報やクッキー、自動入力データ、履歴を復元します。
- FirefoxなどのGeckoベースのブラウザでは、
NSSを使用してlogins.jsonファイル内の暗号化エントリを解読し、保存されたパスワードと関連情報を暴露します。
データの取り扱い
CharlieKirk Grabberは、収集したすべてのアーティファクトを一時ディレクトリに配置し、ZIPアーカイブとして圧縮して効率的な転送を行います。その後、ファイルホスティングサービス(例:GoFile)にアップロードされ、そのリンクはDiscordウェブフックやTelegramボットを通じて攻撃者制御のインフラストラクチャに送信されます。
防御と検出
- MFA(多要素認証)を強制し、ブラウザパスワードの保存を制限します。
- 非公式なファイルホスティングプラットフォームへのアクセスをブロックします。
- ゼロトラスト原則を採用して、盗まれた資格情報の影響範囲を減らします。
検出方法
- 異常なブラウザプロセス終了とその後のブラウザSQLiteファイルへのアクセスパターンを監視します。
- HTTPS接続を通じてDiscordウェブフックやTelegramボットAPI、ファイル共有サービス(GoFileなど)への不審な通信を検出します。
結論
組織は、迅速なデータ盗難に特化したCharlieKirk Grabberのような脅威に対して適切に対応するための戦略的なコントロールを導入することが重要です。