Meduza Stealer

またもや新しいマルウェアが確認されています。
Meduza Stealerです。
名前が示す通り、これはインフォスティーラー型マルウェアです。

いくつかの特徴的な部分があります。

• 認識率が低い
  現時点でMeduza Stealerは多くのアンチウイルス機構で認識できません。
  これを示す画像を使って、マルウェアの作成者は広告を展開しています。

   

• サブスクモデル
  このマルウェアは買い切り型ではなく、サブスク型で提供されます。
  契約者にはポータルが解放され、細かな設定変更機能と、獲得した情報の閲覧機能を提供します。
  1 か月、3 か月、生涯アクセスプランなど、さまざまなサブスクリプションオプションがあります。

   

• 処理の流れ
  感染後、まずは活動場所を確認します。
  活動場所がCIS諸国だった場合は、活動を終了します。
  次に攻撃者のC2に接続できるかを試します。
  接続できなければ活動を終了します。
  これらをクリアすると、情報の収集を開始します。

   

• 多くの情報の種類のカバー
  19種のパスワードマネージャーアプリ、76種の暗号ウォレット、Steamクライアントの各種情報、Discordの各種情報をターゲットにすることができます。
  二要素認証に関する情報も集めます。
  実に広範囲です。

このマルウェアは破壊行為をしませんし、暗号化もしません。
単に情報を抜き取ります。
これは気が付かないままの場合、継続的に情報を抜かれる危険があるものということなのかもしれません。

開発速度の速いマルウェアなので、YARAルールも公開されていますが、どのくらい有効なのかわかりません。

対策はいつも通り、出所の確かでないものには触れない、手元の環境は常に最新の状態に保つ、ということになりそうです。

参考記事（外部リンク）：Meduza Stealer: What Is It & How Does It Work?
www.uptycs.com/blog/what-is-meduza-stealer-and-how-does-it-work