Zaraza Bot

Zaraza Botは新たに観測されているインフォスティーラーです。

• 盗む情報
  オンライン銀行口座、暗号通貨ウォレット、電子メールアカウント、ログイン資格情報を盗み出します。

   

• 盗んだ情報の使用
  認証情報の販売、金融詐欺への使用、不正アクセスへの使用などにつながります。

   

• 盗む場所
  マルウェアの狙う場所はWebブラウザです。
  Google Chrome、Microsoft Edgeなどをはじめとした38種のWebブラウザから情報を抜き取ります。

   

• 保存されたパスワードの2種の保存形式のサポート
  ブラウザでパスワードを保存するとき、通常は暗号化されるなどして安全な状態で保存されます。
  多くの場合、Windows DPAPIを使用して暗号化されます。
  複数回暗号化するなど解読を困難にする手順によって暗号化された新しいバージョンに搭載される手法も、少し古い手法のものも、Zarazaはサポートしています。
  こういった暗号化されたものを解読するコードはGitHubで入手できますので、そういったものを組み込んでいるということかもしれません。

   

• 画面保存機能をサポート
  被害者の画面を保存する機能も搭載されています。
  取得された画面情報はどのように悪用されてしまうのでしょう。

   

• C2
  ZarazaはC2の環境としてライブのTelegramチャンネルを使用します。
  Telegramの通信は暗号化されていますので、検出は容易ではありません。

   

• 使用されている言語
  ログなどのなかにロシア語が含まれていることが確認されています。
  しかし使用されているのは簡単で基本的な単語のみですので、作成者がロシア語話者であるということの根拠にはならないかもしれません。

   

• オプション機能・カスタマイズ機能
  いくつかのオプションを変更して利用することができる機能が搭載されています。
  変更できる機能の中に言語変更機能があります。
  普段使用している言語でないものを使用して実装されたマルウェアの情報だから自分には関係がないというような考え方は、どこまで意味を持つでしょうか。

   

• Zarazaの入手
  Zarazaはサブスクリプション形式で購入が可能です。

このZarazaはすでに拡散されていることは確認されていますが、どのような経路で拡散されているかについてはまだ十分に情報が集まっていません。
注意が必要なものと認識する必要がありそうです。
あ、UptycsのサイトではZaraza検出用のYARAルールが開示されています。

しかしあれですね、よくもまぁこれだけ次から次へと新しいものが出てくるものです。

参考記事（外部リンク）：Zaraza Bot Credential Stealer Targets Browser Passwords
www.uptycs.com/blog/zaraza-bot-credential-password-stealer