進化するRaccoon Stealer
Raccoon Stealerは新しく出てきたものではありません。
少なくとも2年以上前から観測されています。
しかし現在も更新が継続されています。
Raccoon Stealerは名前の通り、情報を盗み出すマルウエアです。
次のような特徴があります。
- ターゲットマシン上の暗号通貨ウォレット、Cookie、およびその他の種類の情報を盗み出す
Webサイトの自動入力テキストを取得する形式で実装されている - RaaS(Ransomware as a Service)として展開されている
- Tor経由で接続されるコントロールパネルが利用できる
- 新機能とバグ修正で定期的に更新される
- ロシア語圏で販売されている
- 英語圏で販売されている
- 英語で広告を掲載している
- 英語のサポートサイトを展開している
このマルウェアは次の方法で展開されていることが確認されています。
- 悪意のあるドロッパーのペイロードとして配布される
- 圧縮された実行可能ファイルとして、スパムメールを介する方法で配布される
Raccoon Stealerの最新のサンプルは、海賊版ソフトウェアへのアクセスを約束する悪意のあるWebサイトを活用する単一のドロッパーキャンペーンを通じて広められています。
このキャンペーンにリンクされたサイトはSEO対策が実施されており、人々が海賊版ソフトウェアを検索したときに利用されやすくなっています。
そして海賊版を入手しようとした人がダウンロードするファイルが海賊版のソフトウェアではなく偽装したドロッパーとなっているというわけです。
いまどきのマルウェアはWebブラウザの自動入力に関する情報の取得や、あるいは、クリップボードのなかの情報の取得などの機能を持っています。
長くて覚えにくいパスワードや覚えられる気がしない意味のない文字列となっているウォレット番号など、一見すると安全に見えます。
しかし、果たして一体どのくらいの人が、こういった長いものを利用するときにそのまま手で入力しているでしょうか。
大抵の人はなんらかの記録用ソフトに記載したメモをコピーして、利用場所に張り付けるような利用方法を選択しているのではないでしょうか。
覚えられないような長い意味のない文字列を重要な部分に使うことは安全性の向上に役立っていると思っていましたが、実際のところはどうなのでしょうか。
参考記事(外部リンク):New Raccoon Stealer Campaign Underscores an Evolving
Threat
www.darkreading.com/threat-intelligence/new-raccoon-stealer-campaign-underscores-an-evolving-threat
