DuckLogs

DuckLogsはMaaSです。
MaaSはMalware-as-a-Serviceです。
これまで観測されていない新しいものと考えられます。
スティーラー、キーロガー、クリッパー、リモートアクセスなどの機能を提供します。
内容を見てみましょう。

• 課金するだけでマルウェア犯罪を開始する
  マルウェアを作成するために特別な技術は必要ありません。
  MaaSに課金して、そのWebシステムを操作するだけでマルウェア犯罪を開始できます。
  課金形態もいくつか用意されています。
  1か月契約は19.99ドル、3か月契約は39.99ドル、生涯契約は69.99ドルです。
• マルウェア作成はボタンを押すだけ
  マルウェア作成はどうやるのでしょう。
  MaaSのコントロールパネルにログインして、作成したいマルウェアの種類を選択して生成ボタンを押すだけです。
  マルウェアの種類によってはいくつかのオプションがあります。
  そのオプションの選択も悩む必要はありません、単にそれぞれオンにするかオフにするかだけの簡単なものです。
• 統計情報を確認する
  MaaSのコントロールパネルでは統計情報を確認することができます。
  合計ユーザ数（MaaSを使用したMaaS契約者数）、合計被害者数、今日の被害者数、合計のビルド数、MaaS契約者の被害者獲得数ランキング、などが表示されます。
• 複雑な感染の流れ
  感染はバイナリで始まります。
  最初のバイナリは32 ビットの.NET実行可能ファイルです。
  それが被害者環境で実行されると一連の感染活動が開始されます。
  バイナリに内包されるdllをデコードして取り出し、メモリに読み込みます。
  dllは元のバイナリの中にあるデータからビットマップイメージを取り出します。
  ビットマップイメージはステガノグラフィでファイルが埋め込んであるので、それを取り出します。
  取り出したファイルはメモリ内に取り出され、読み込まれます。
  複数の分析防止と検出防止チェックの機構を活用しながら動作します。
• 機能が豊富
  多くの機能が実装されています。
  スティーラー、キーロガー、クリッパー、ファイルグラバー、リモート アクセス、永続性確保、UACバイパス、Windows Defenderバイパス、無効化などの機能があります。
  スティーラーが抜き取る情報は様々です。
  ブラウザのブックマークや履歴やCookieやダウンロード履歴やパスワードなどの情報、電子メールクライアントやメッセンジャーやVPNなどのアプリケーションの情報、暗号ウォレットの情報も収集します。
  クリッパーはクリップボードを監視します。
  暗号ウォレットのトランザクションで送金先の暗号ウォレットを攻撃者のものに勝手に差し替えます。
  無効化機能も面倒です。
  無効化機能は被害者環境でタスクマネージャ、任意のファイルの実行機能、Cmd.exe、レジストリエディタなどの機能を実行できなくします。
  RAT機能も面倒です。
  パソコンの操作やファイルの操作、などができるだけでなく、ブルースクリーンオブデス画面を表示する機能もあります。
  固まったように見せかけてその裏で情報取得などの活動を継続することができます。

こんな感じの内容が課金さえすれば誰でも簡単に入手できます。
MaaS契約者はあとは入手したマルウェアを被害者に届けるだけです。
参入障壁はかなり低いといえます。

私たちがとれる対応はいつも通りです。
フィッシングメールに気をつける、信頼できないURLは閲覧しない、などです。

参考記事（外部リンク）：DuckLogs – New Malware Strain Spotted In The Wild
blog.cyble.com/2022/12/01/ducklogs-new-malware-strain-spotted-in-the-wild/