はじめに: Acreedインフォスティーラーの台頭
2025年2月に初めて確認された新型インフォスティーラー「Acreed」が、サイバー犯罪者の間で急速に普及しています。このマルウェアは、Steamプラットフォームのコミュニティプロフィールを介した独自のコマンド&コントロール(C2)メカニズムを利用しており、その高度な運用セキュリティ(OPSEC)と汎用性により、Lummaのような既存のスティーラーとは一線を画しています。
Acreedは2025年2月14日にロシアのアンダーグラウンド市場で「Nuez」として知られる脅威アクターによって独占的に販売が開始されました。わずか数ヶ月で他のスティーラーを凌駕し、2025年9月までにログ販売の17%を占め、RhadamanthysとLummaに次ぐ第3位にランクインしました。特に、2025年5月にLummaが世界的にテイクダウンされた後、Acreedの台頭は加速し、低視認性の代替手段としての魅力が浮き彫りになりました。
Acreedの巧妙なC2メカニズム
Acreedは、従来のフォレンジック分析を困難にするコンパクトなログを生成します。このログには、パスワード、クッキー、自動入力データ、および暗号化されたウォレット情報のみが含まれ、ブラウザ履歴やダウンロードパスなどのアーティファクトは意図的に省略されています。これにより、感染源の特定が著しく妨げられます。
Acreedは、C2ドメインを取得するために2つのデッドドロップリゾルバー技術を駆使しています。
- BNBスマートチェーンテストネット: サンプルはBNBテストネット上のスマートコントラクトにクエリを送信し、XORエンコードされた16進数文字列を抽出します。これをデコードすると、
windowsupdateorg.liveのようなドメインが明らかになります。このコントラクトの更新機能は、C2ドメインを動的にローテーションするために使用されています。 - Steamプラットフォームコメント: 特定のサンプルはブロックチェーンを完全に迂回し、ハードコードされたペイロードをXORデコードしてSteamコミュニティプロフィールのURL(例:
steamcommunity.com/profiles/76561199780129524)にアクセスします。マルウェアはこのプロフィールのコメントスレッドをフェッチし、16進数文字列を抽出して、trustdomainnet.liveやtrusteddomain.winなどのドメインをC2通信のために導き出します。
C2確立後の攻撃手法
C2の取得後、Acreedは自身のドメインからJavaScriptモジュールを展開し、以下の悪意ある活動を実行します。
- 仮想通貨クリッピング: ウェブページやQRコード内のウォレットアドレスを、正規表現マッチングと
api.zile42o.devのQR-APIサービスを介して攻撃者のウォレットアドレスに置き換えます。 - クリップボードハイジャック: ユーザーのクリップボード内の有効なウォレット文字列を監視し、書き換えます。
- スクリーンショット窃取: ユーザーの画面をキャプチャし、TLS暗号化されたPOSTリクエストを
api.php?action=screenshotのようなエンドポイントに送信して画像を流出させます。
インフラストラクチャの関連性
脅威インテリジェンス分析によると、AcreedのC2 IPアドレス186.2.166.198は、アラブ首長国連邦のProManaged LLCのホスティングクラスターと関連付けられています。このIPアドレスは、2023年初頭に文書化されたVidarスティーラーのインフラストラクチャと重複しています。C2ドメインとの通信は、ポート443を介したHTTP GETまたはHTTP POSTリクエストで行われます。
共有されたSSLフィンガープリント、リダイレクターの挙動(例: APNews.comのリダイレクト)、およびポート50022でのSSHポート異常は、この関連性をさらに裏付けており、共有された運用インフラストラクチャまたは開発者間のつながりを示唆しています。
Acreedの脅威と対策
Acreedは、ブロックチェーンとゲーミングプラットフォームのデッドドロップリゾルバーという革新的な組み合わせと、軽量なデータ流出ペイロードにより、インフォスティーラーの分野で手ごわい競合相手としての地位を確立しています。既存のマルウェアファミリーとのインフラストラクチャの共生は、適応的な防御の必要性をさらに強調しています。
Acreedの脅威:
- 回避と永続性: Steamのコミュニティ機能をデッドドロップとして利用することで、ネットワークベースの検出やテイクダウンの取り組みを回避します。
- 日和見的な配布: 小さなログサイズとロシアのマーケットプレイスを介したプライベートな配布モデルにより、セキュリティ研究者への露出を減らしています。
- 認証情報と仮想通貨の窃取: ブラウザの認証情報と仮想通貨ウォレットの両方に焦点を当てることで、潜在的な金銭的損失を増幅させます。
推奨される緩和策:
- 不審なHTTPSリクエストの監視: 正規のサービスを模倣した非標準ドメイン(例:
windowsupdateorg.live)への外部TLSトラフィックを検出します。 - ブラウザセキュリティの強化: ブラウザ拡張機能の許可リストを実装し、自動入力での認証情報保存を制限します。
- ネットワークエグレスフィルタリング: デッドドロップとして使用される既知のSteamコミュニティプロフィールへのHTTP(S)リクエストをブロックします。
- 脅威ハンティング指標: ミューテックス名、ユーザーエージェント(
POHSoftware/1.0、POSDataAgent)、既知のC2ドメイン(trustdomainnet.live、trusteddomain.win)などのIOCを展開して、Acreed感染を検出します。
進化するデッドドロップ技術の継続的な監視と迅速なIOC共有は、Acreedの進化するキャンペーンを軽減するために不可欠です。