新しい研究は、Infostealerマルウェアが単なる一発のクリックをわずか48時間で企業の資格情報を暗網マーケットプレイスに公開する仕組みについて明らかにしています。これは従来の侵害検出タイムラインよりも遥かに速いペースです。
Infostealer感染の初期段階
典型的なシナリオは、社員がクラックソフトウェアをダウンロードしたり、外部ネットワークで悪意のあるリンクをクリックするところから始まります。この時点で、脅威アクターはクラックソフトウェアやマルウェア広告キャンペーン、YouTubeチュートリアル、サプライチェーンの脆弱性などを活用してペイロードを配布します。
主要なInfostealerファミリー
これらの攻撃は、Lumma、RedLine、Vidar、Raccoon Stealer v2、StealCなどの主要なInfostealerファミリーによって行われます。これらの中には、マルウェアとしてのサービス(MaaS)モデルで提供されているものもあります。
データ収集と暗網への公開
感染から最初の2時間以内に攻撃チェーンが始まります。その後、2〜12時間の間にマルウェアはブラウザに保存された資格情報やセッションクッキー、VPN設定、SSHキー、暗号通貨ウォレットなどのデータを収集します。
- ブラウザから暗号化された資格情報を抽出し、ローカルで保管されているキーを使用して復号化する
12〜24時間の間に、盗まれたデータは「ログ」という構造化されたパッケージにまとめられ、企業VPNアクセスやクラウドインフラストラクチャ資格情報など高価値な情報を含むものと低価値な消費者アカウント資格情報を持つものとに分類されます。
暗網マーケットプレイスへのアップロード
48時間以内にこれらのログは、Russian Marketや2easyなどのマーケットプレイスにアップロードされたり、Telegramチャネルを通じて配布されます。これらのプラットフォームでは、ドメイン、国、資格情報の種類などでデータをフィルタリングすることができます。
早期警告と対応
セキュリティ研究者は、地下マーケットプレイスを監視することでこのギャップを埋める重要性を強調しています。プラットフォームの一部としてWhiteintelは、オンラインで最初に表示された盗まれた資格情報を検出する機能を提供し、組織がアクセスを停止したりセッションを無効化したり、侵害されたエンドポイントを調査できるようにします。
結論
従来の侵害検出は被害が発生した後に対応する一方で、Infostealerに焦点を当てた監視はデータ窃取とアクティブな悪用の間の狭いウィンドウ内で反応することを目指しています。