サイバーニュース.jp

世界のサイバーなニュースを配信

窃取マルウェアにより毎日数百万件の認証情報が盗まれる現状

カテゴリ:

, , , , , , , , ,

窃取マルウェアによる大規模な情報漏洩

窃取マルウェアを取り巻くサイバー犯罪のエコシステムは、前例のない規模に達しており、脅威アクターは洗練された流通ネットワークを通じて毎日数百万件の盗まれた認証情報を処理しています。セキュリティ研究者は約1年間これらの活動を監視しており、Telegram、フォーラム、ソーシャルメディアサイトなどのプラットフォームを通じて、被害者データを産業規模で処理する驚くべきインフラを明らかにしました。

窃取ログのエコシステムは近年大きく変化し、散発的な活動から高度に組織化された犯罪企業へと進化しました。これらのプラットフォームの監視を開始した研究者たちは、被害者を支援するために包括的なデータ取り込みシステムを導入し、Have I Been Pwnedと提携して、認証情報が侵害された個人に警告を発しました。監視インフラは、最大の脅威インテリジェンスプラットフォームに匹敵するように構築され、独自のデータを捕捉し、ほぼリアルタイムの警告機能を実現することに焦点を当てました。

この調査により、Telegramが窃取エコシステム内で主要なデータドライバーとして浮上し、1日で数百万件の固有の認証情報を提供できることが判明しました。活動のピーク時には、単一のTelegramアカウントが24時間で最大5,000万件の認証情報を処理できました。この驚異的な量は、認証情報窃取活動が現在機能している産業規模を浮き彫りにしており、サイバー犯罪能力のこれまでの推定をはるかに超えています。

犯罪市場の構造

窃取ログのエコシステムは、明確な役割と責任を持つ階層構造を通じて運営されています。主要な販売者は主要な業務を管理し、通常、サンプルが共有される公開チャネルと、顧客が新しい窃取ログへのアクセスを購入する有料のプライベートチャネルの両方を維持しています。これらのオペレーターは、さまざまな感染経路を通じてマルウェアを配布するトラファーと連携し、一方、アグリゲーターは複数のチャネルにわたってログを収集および再配布します。

アグリゲーターは、このエコシステムにおいて特に興味深い役割を果たしており、注目を集め、犯罪コミュニティ内での評判を築くためにデータを公に漏洩することがよくあります。彼らは複数のソースからのファイルをマージし、追跡を困難にする独自のコンパイルを作成します。主要な販売者は、アグリゲーターが功績を主張するのを防ぐために、チャネルへのリンクとともにアーカイブをパスワードで保護することが多く、データ配布プロセスにさらなる複雑さを加えています。

悪意のあるインフラの特定と研究者の監視手法

研究者たちは、TelegramのMTProtoワイヤーフォーマットを使用して洗練された監視インフラを開発し、チャネルの監視とスクレイピングに特化した約20のプレミアムTelegramアカウントをワーカーとして展開しました。これらのワーカーは、受信メッセージをプロセッサに転送するメッセージリスナーを操作し、プロセッサは招待リンクを抽出し、添付ファイルを識別し、抽出と処理のためにファイルを分離されたダウンロードエンジンに転送しました。

システムには、大量の冗長データを処理するための複数の重複排除メカニズムが組み込まれていました。ファイルはダウンロード前にTelegramのFileHashを使用してチェックされ、ClickHouseをReplacingMergeTreeアーキテクチャで使用して2番目の重複排除層が実装されました。このアプローチにより、研究者はストレージの制約を管理しながら、特定の認証情報が犯罪エコシステム全体でどの程度広く配布されているかを追跡できました。

プロセッサは、盗まれたデータの指標についてメッセージを検査し、ワーカーに関連チャネルに自動的に参加するように指示しました。ダウンロードされたファイルは、解析前にその形式を決定するために分析され、データは分析のためにClickHouseデータベースにバッチ挿入されました。処理された膨大な日次量を考慮して、正常に処理されたファイルはストレージスペースを節約するために直ちに削除されました。

研究チームは、既知の悪意のあるTelegramチャネルから開始し、それらをシードデータとして使用することで、敵対的なインフラに特に焦点を当てました。複数の悪意のあるソースによって参照されるチャネルは、悪意のある確率ランキングが高く評価され、クロールが優先されました。このアプローチにより、研究者は正当なチャネルからの誤検知を回避しながら、認証情報窃取活動の相互接続されたネットワークをマッピングできました。

異なるマルウェアファミリーやトラファーがさまざまな出力構造を使用していたため、データ形式の多様性は大きな課題となりました。主要な販売者、アグリゲーター、トラファーはそれぞれ独自のフォーマット規則を採用しており、エコシステム全体で一貫性がありませんでした。これにより、遭遇した幅広いファイル形式から認証情報を抽出するための柔軟な解析機能が必要となりました。

「Have I Been Pwned」へのデータ寄付

研究チームは最終的に、収集したデータを収益化するのではなく、「Have I Been Pwned」に寄付しました。これは、適切な検証なしにクレジットカードを持つ誰もが被害者の詳細にアクセスできるプラットフォームに対する懸念を理由としています。このデータセットを「Have I Been Pwned」に提供することで、研究者たちは、盗まれた認証情報の悪用に対する十分な保護策を欠く脅威インテリジェンスプラットフォームからのさらなる悪用を受けることなく、被害者がアカウントを保護できるよう支援することを目指しました。

元記事: https://gbhackers.com/stealer-malware/

投稿をさらに読み込む