S1deload Stealer

S1deloadはインフォスティーラー型マルウェアです。
どんな風に盗み取られていくのでしょう。

• Facebookの投稿記事
  どこかの誰かのちょっと見てみたくなる投稿記事から始まります。
  攻撃の連鎖の本当に最初の最初の部分はどのように始まっているのかはわかりませんが、その記事は攻撃者の作成したものです。

   

• Facebookの記事の内容
  内容はアダルトテーマのコンテンツへの誘導になっています。
  閲覧者はZIPアーカイブをダウンロードして手元で展開します。

   

• 実行ファイルの実行
  被害者はZIPファイルの中身のファイルを開きます。
  中身は実行ファイルになっています。
  その実行ファイルそのものは攻撃コードを含んだものではありませんが、一緒にZIPに含まれているDLLに悪意あるコードが含まれています。
  実行した実行ファイルは悪意あるコードを含むDLLを読み込んで動作します。
  サイドローディングです。
  実行ファイルは正当なものですのでデジタル署名もされたものになっています。
  ただしサイドローディング脆弱性のあるものです。

   

• 攻撃範囲の拡張
  Fecebookのアカウント情報を盗み出します。
  その情報を悪用しFacebookで記事を投稿します。
  もちろんその記事は攻撃を実現するものです。
  攻撃が進めば進むほどにS1deloadは拡散していきます。

   

• PCリソースの勝手な利用
  S1deloadは手元にクリプトジャッカーを取り込みます。
  そしてBEAM暗号資産を採掘します。
  攻撃者は金銭を得ることができます。

   

• アカウント情報の取得
  盗み出されるのはFacebookのアカウントだけではありません。
  Youtubeのアカウント、電子メールのアカウントなどを抜き取ります。
  これらは攻撃者の手に渡り、販売するのも悪用するのも自由となります。

   

• いいねの増幅
  マルウェアは被害者の環境にヘッドレスChromeブラウザを持ち込み動作させます。
  この画面表示のないブラウザで、いいねを増幅させます。
  Faceookの記事のいいねも増やせますし、Youtubeの記事のいいねも増やせます。
  このいいねを増やす機能はこのマルウェアのオプションとして展開されています。

実行が開始された悪意あるコードはいろいろなことを行います。
被害にあうと被害者になるだけでなく、新たな加害者としての活動も展開してしまいます。
加害者になってしまった被害者はなにも得ることになりませんが。

この攻撃キャンペーンも始まってしまったら途中で気が付いて停止させることは容易ではなさそうです。
そもそもとして信頼できないところからファイルを持ってこないこと、もってきた実行ファイルを実行しないこと、こういった基本的な事項を徹底し、被害者とならないように注意することが必要といえそうです。

参考記事（外部リンク）：S1deload Stealer – Exploring the Economics of Social Network
Account Hijacking
www.bitdefender.com/blog/labs/s1deload-stealer-exploring-theeconomics-of-social-networkaccount-hijacking/