Lightning Stealer

やはりいくつも出てきているのですね。
Lightning Stealerはinfo stealerです。
しかもどうやらなにかの亜種ではなく新しい実装のようです。
こんな感じです。

• Lightning Stealerは.Netで作成されているWindows向けマルウェアである
• 多くのFirefoxベースのブラウザからデータを盗む
  FirefoxはGeckoというレンダリングエンジンを採用しています。
  これを利用するブラウザは種類が多く、認証情報の格納方式の類似性が高いのだと思われます。
  Geckoを使用して作られているブラウザから、ユーザ名とパスワードの保存されているファイルの内容、それを復号化するための暗号化キーとマスターパスワード、検索履歴やブックマークなどの情報、を盗み出します。

   

• Chromeベースのブラウザからデータを盗む
  Chromeベースのブラウザからも盗みます。
  暗号化された各種認証情報やcookie、それを復号化するための暗号化キー、を盗み出します。

   

• 暗号資産のウォレット情報を盗む
  Exodus、Armory、Atomic、Zcashの情報を盗み出します。

   

• システム情報を盗む
  PCの名称などをはじめとした各種情報を盗み出します。

   

• ドキュメントを盗む
  デスクトップにあるtxtファイルとdocファイルを盗み出します。
  中身を読んでエンコードしファイル名とともに盗み出します。

   

• Telegramからファイルを盗む
  データファイルのなかからファイルの情報を抽出し盗み出します。

   

• Discordトークンを盗む
  Discordトークンの含まれるファイルを盗み出します。

   

• Steamのデータを盗む
  Steamは世界中で利用されているビデオゲームのデジタル配信サービスです。
  Steamの各種情報を盗み出します。

   

• 画面画像を撮影する
  感染先PCのスクリーンショットを撮影し盗み出します。

新しい実装なのに機能が盛りだくさん過ぎませんか？
これがそのままとは思えません。
さらなる機能の追加実装がされた更新版が出てきてしまうかもしれません。
またLightning Stealerを改造した亜種も生まれてくるかもしれません。

やはりinfo stealer系の新しいものの増える速度が上がっているように思えます。
できる対策はいつも通りです。
気を引き締めていきましょう。

参考記事（外部リンク）：A New Info Stealer Targeting Over 30 Browsers
blog.cyble.com/2022/04/05/inside-lightning-stealer/