インフォスティラーは情報窃取型マルウェアであり、Web ブラウザや電子メールクライアントのようなプログラムに保存されているユーザーアカウント情報や仮想通過ウォレットアドレス、ファイルのようなユーザー情報を窃取することを目的としたマルウェアである。
2022年の第3四半期の ASEC レポートによると、インフォスティラーは実行ファイルフォーマット基準でクライアントから受け取ったり収集されたりしたマルウェアのタイプのうち、半数以上を占めている。ダウンローダータイプのマルウェアも実質的にインフォスティラーやバックドアタイプのマルウェアをインストールするため、配布される数だけを見ると一般のユーザーや企業ユーザーをターゲットとした攻撃の大半を占めていると言える。[1]
一般的にインフォスティラーは商用ソフトウェアの Crack、シリアル生成プログラムのダウンロードページに偽装した不正なサイトから配布したり、スパムメールの添付ファイルを通して拡散されたりする。以下は2022年第3四半期に確認されたインフォスティラーマルウェアの比率である。AgentTesla、Formbook、Lokibot、SnakeKeylogger は主にスパムメールの添付ファイルを通して配布され、RedLine や CryptBot、Vidar はクラックや正常なプログラムに偽装して不正なサイトからダウンロードされて配布される。もちろん韓国国内を基準とした Vidar は LockBit ランサムウェアとともにスパムメールの添付ファイルを通して配布されるケースも確認されている。
インフォスティラーを配布している攻撃者は感染システムから収集したアカウント情報を様々な方法で悪用することができる。例えば、アカウント情報を含む様々なユーザー情報を攻撃に直接利用したり、深層 Web に販売して他の攻撃者が利用する可能性もある。窃取対象が企業ユーザーの場合は、企業ネットワークへの進入に使用されることもあり、収集したメーリングリストを利用して他のスパムメール攻撃に利用されることもある。
この記事では最近インフォスティラーマルウェアに感染し、その後攻撃者から受信した脅迫メールについて紹介する。インフォスティラーへの感染は12月7日の水曜日であると見られ、攻撃者は12月23日の金曜日にインフォスティラーに感染してアカウントを窃取されたユーザーに以下のようなメールを送信した。
ユーザーのコンピューター名とともに「Gained access to your device..」という件名で送信され、本文には窃取したアカウント情報、すなわちパスワードのリストが存在する。その他にも2つのファイルが添付されているが、PDF ドキュメントファイルと JPG 画像ファイルであることが確認された。JPG 画像ファイルは感染時にマルウェアがキャプチャしたスクリーンショットであると推測され、攻撃者が被害者となった PC を掌握したということを伝えるためのものであると思われる。実際のスクリーンショットを見ると、Web ブラウザを利用して NAVER からインターネット記事を閲覧した画面がキャプチャされている。
参考に、感染直後のスクリーンショットをキャプチャして C&C サーバーに送信する機能は、大半のインフォスティラーマルウェアがサポートしている機能である。具体的には AgentTesla[2] や SnakeKeylogger[3]、RedLine[4] Stealer はオプションが有効になっている場合、周期的にスクリーンショットをキャプチャして C&C サーバーに送信する。それ以外にも Formbook[5] も窃取対象情報にスクリーンショットが含まれている。
PDF の添付ファイルを確認すると、ユーザーを脅迫してビットコインを送るようにといった旨が書かれている。本文はコンピューターをハッキングしてアカウント情報を窃取し、ずっと監視しているといった内容で始まる。そして収集した情報を利用してポルノを製作し、電子メールおよび SNS を通して知人に送信するといった脅迫内容とともに、それを望まない場合は1,200ドルを攻撃者のビットコインウォレットアドレスに送るようにといった指示が書かれている。
そして48時間以内に送信する場合は、収集した情報とインストールしたマルウェアを削除するといった内容と、次回からは疑わしいサイトにアクセスしないようにといった内容で終わっている。
このウォレットアドレスを検索した結果、現在までは取引内容が確認されていない。しかし PDF 本文の内容を検索すると、多くの検索結果がヒットすることを考慮すると、攻撃者はかなり前からこのような脅迫を続けてきたものとみられる。実際の検索結果で確認されたウォレットアドレスの場合、以下のように取引内容が確認できる。
- 攻撃者のビットコインウォレットアドレス : bc1qerarqnkt0jwq0zn3z7tn7zgerkpq7k6lqrqsw8
ユーザーの内容が不明なメールの添付ファイルや、Web ページからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。
そして OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] Web ブラウザや電子メールクライアントに保存されているユーザーアカウント情報を窃取するインフォスティーラー(情報の窃取)マルウェアは、実質的に一般ユーザーや企業のユーザーを対象とする攻撃の大半を占める。これに関する内容は昨年12月に ASEC ブログを通して共有している。[1] […]