ソースコードが無償公開されたLuca Stealer

Luca Stealerというマルウェアが新しく作成されています。
そしてそのソースコードが無償で公開されました。
こんな感じです。

• 公開場所はフォーラム
  サイバー犯罪フォーラムで公開されています。
  期待する人が多くいる場所で公開するということでしょうか。

   

• 開発言語はRust
  最近実装例がよく確認されるようになってきているRustで開発されています。
  Rustは言語としては、安全性・速度・並行性が高いと評価されています。
  関数型プログラミング、オブジェクト指向プログラミング、手続き型プログラミングなどをサポートするマルチパラダイムプログラミング言語です。
  使う人の使い方に柔軟に対応できる言語と言えそうです。

   

• 使い方もセットで公開
  ソースコードのどのあたりを変更すれば機能拡張できるかというポイントやRustのソースコードのコンパイル方法の解説も公開しています。
  このマルウェアのソースコードの公開はこの作者の評判向上のための取り組みだったと考えられます。

   

• 機能1：動作場所識別
  動作を開始するとマルウェアは動作環境の情報を収集します。
  ユーザ名やコンピュータ名や使用言語を収集しますし、IPも収集します。
  そしてipgeolocateライブラリを使用し、使用地域の情報を取得します。

   

• 機能2：情報抜き取り
  Chromiumベースのブラウザをターゲットとして各種情報を抜き取ります。
  ログイン資格情報、クレジットカード、Cookieを取り出します。
  取り出した情報は暗号化して持ち出します。
  対応するブラウザの種類は30を超えます。

   

• 機能3：ウォレット番号取得
  ウォレット情報を抜き取ります。
  対応するウォレットは10種あります。

   

• 機能4：パスワードマネージャー
  パスワードマネージャー機能を実現する拡張機能の情報も抜き取ります。
  暗号ウォレットの拡張機能を合わせると20以上の拡張機能の情報を抜き取ります。

これらを実際に使用した犯罪活動の例は現時点では25程度確認されています。
ですが、これはまだ始まりに過ぎないかもしれません。

公開されているソースコードは動作環境をWindowsに限定するような部分を多数有していますが、このマルウェアはソースコードが公開されています。
入手した人が簡単にLinuxなどの他の環境で利用できるように拡張してしまうことは容易に想像できます。

こういった脅威にどう対応していくことができるでしょう。
パッチ適用などの基本的対策だけでなく、信頼できないファイルを開かないことや、ブラウザなどにパスワードを覚えさせることの是非を考える必要性を感じます。
特効薬はまだなさそうです。
やるべきことを一つずつ確実に実施していくということになりそうです。

参考記事（外部リンク）：Luca Stealer Source Code Leaked On A Cybercrime Forum
blog.cyble.com/2022/07/25/luca-stealer-source-code-leaked-on-a-cybercrime-forum/