あっちこっちにW4SP Stealer
W4SP Stealerというマルウェアがあります。
名前の通りインフォスティーラーです。
感染環境の情報を抜き取っていきます。
- W4SPの公開場所
W4SP StealerはPyPIで公開されています。
PyPIはPython Package Indexの呼称で、プログラミング言語Pythonのサードパーティーソフトウェアリポジトリです。
オープンソースのPythonパッケージのカタログとして利用することができる場所で公開されています。 - W4SPの機能
資格情報、暗号通貨ウォレット、Discordトークン、ファイルなどを抜き取ります。
実はW4SPのPyPIでの公開はすでに終了しています。
W4SPの攻撃チェーンは複数の段階とさまざまなレベルの難読化で非常に複雑なものとなっており、厄介なマルウェアでしたが、公開終了となっています。
公開が終了されてよかったです。
W4SPの公開が終了された後、あまり時間を置くことなく、多くの別のStealerが公開されていきました。
Satan Stealer、ANGEL Stealer、Leaf $tealer、@skid STEALER、Fade Stealer、Celestial Stealerといったものです。
これらは名前はそれぞれ異なりますが、内容はW4SPそのものでした。
W4SPが入手できなくなったので同じものを別の名前で公開してしまおうということなんでしょうか。
W4SPは一定期間公開されており、一部の領域で有名なものでした。
W4SPを手元に入手済みだった脅威アクターが少なくなかったということを示すといえそうです。
攻撃に使用できる情報を公の場所に公開するということはこんな事態にもつながってしまうということを実感します。
いくら取り締まっても、入手されてしまっているものを別途公開されてしまってはどうにもなりません。
モグラたたきのようなものです。
完全に同じものであればやがて防御側でも対策が用意していけるということも期待できますが、そのころには内容に手が入って単純なHASHでの検出は意味をなさないものとなりそうです。
またこういったコードは別の新たな攻撃コードの参考書となってしまうことも考えられます。
ソースが公開されたマルウェアにしても概念実証コードにしても、研究に役立つという側面はあるわけですが同時に危うさも感じます。
参考記事(外部リンク):Phylum Discovers New Stealer Variants in Burgeoning PyPI
Supply Chain Attack
blog.phylum.io/phylum-discovers-new-stealer-variants-in-burgeoning-pypi-supply-chain-attack
