活発なRedLineとRacoon

RedLineとRacoonはどちらもインフォスティーラーです。
これらはこれまでもそれぞれに多く観測されています。
そして最近のGroup-IBの調査によるとstealer-as-a-serviceと呼べるような活動が展開されていることが確認されています。

• 情報交換の場所
  情報交換はTelegramで行われています。
  ここに複数のグループが構成され、そのそれぞれが詐欺チームとして活動します。
  多くのグループがあるようですが、アクティブなものは2021年から2022年の範囲で見ると34あります。

   

• 大きなチーム
  Telegramのグループはそのまま詐欺活動のチームになっています。
  チームによって規模に違いはあると思いますが、平均するとメンバーは200人を超えているということです。

   

• 使用するマルウェア
  チームによって使用するマルウェアが異なります。
  確認された情報によると、RedLineを使用するチームが23、Racoonを使用するチームが8あります。
  stealer-as-a-serviceからは複数種のマルウェアが供給されますが、チームによってどれを採用するかが異なるということのようです。
  これらは盗まれたデータまたは金銭の分け前と引き換えに提供されます。

   

• 作業の分担
  詐欺を実現するためにはいくつもの工程が必要になります。
  しかしその作業は分担されます。
  一番作業的な役割を果たす工程を担当する人が構成人数としては一番多くなります。
  この工程を実施する人にはほとんど技術的な知識は必要ありません。
  単に設置された悪意ある環境に被害者を誘導する作業をするだけでよいのです。
  犯罪の多くの部分は他のメンバーが実施したり自動化されていたりするため、最終工程を担当する人は誘い込むリンクをいろいろなサイトに掲載するだけです。
  いろいろなサイトというのは、YouTubeの人気ゲームのビデオレビュー、専門フォーラムのマイニングソフトウェアまたはNFTファイル、NFTアーティストとの直接コミュニケーション、ソーシャルメディアの抽選会や宝くじといった具合です。

誘い込むだけの簡単なお仕事です、という感じでしょうか。
多くの犯罪者が多くの罠を仕掛けます。
1つの罠には複数の被害者が引っかかるのでしょう。
規模の大きな犯罪活動が展開されていますので、被害も大きくなっています。
たとえば2022年の1月から7月だけの集計でも、盗難されたパスワードは5000万を超え、盗難された暗号資産のウォレットは11万を超え、盗難されたクレジットカード情報は10万を超えています。

小さな労力で大きな犯罪が展開できてしまう状況になっています。

自分の身は自分で守る必要があります。
怪しいサイトからファイルを入手しない、とか、ブラウザーにパスワードを保存しない、とか、ブラウザーのCookieを定期的に消去するなどの基本的な行動を確実に選択していくことで対抗していくことになりそうです。

参考記事（外部リンク）：Professional stealers: opportunistic scammers targeting
users of Steam, Roblox, and Amazon in 111 countries
www.group-ib.com/media-center/press-releases/professional-stealers/