ソフォス、Telegramを利用してクリプトマイニングと暗号通貨窃取機能をインストールする「Raccoon Stealer」のまん延に関する調査結果を発表

Sophos Press Release

ランサムウェアなどの悪意のあるコンテンツとセットでターゲットに配信される情報窃取ツール

※本資料は2021年8月3日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。

次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、「Trash Panda as a Service: Raccoon Stealer Steals Cookies, Cryptocoins and More (Cookie、暗号通貨などを盗み出す MaaS 「Raccoon Stealer」)」と題する調査報告書を公開しました。この調査報告書では、海賊版ソフトウェアを装ったデータ窃取ツールが、どのような方法でクリプトマイナーなどの悪意のあるコンテンツを標的システムに配布し、暗号通貨や情報を盗み出すのかを詳細に解説しています。

ソフォスの上級脅威リサーチャーである Sean Gallagher は、次のように述べています。 「日常生活や仕事の大部分は、Webブラウザから提供されるサービスに依存しています。このような中、情報窃取マルウェアのオペレーターが狙っているのは保存されているWeb認証情報です。Web認証情報を入手すれば、パスワードハッシュだけではアクセスできない数多くのデータにアクセスできるようになるからです。当社が調査をしている攻撃活動では、Raccoon Stealerによってパスワード、Cookie、Webサイトのオートフィル・テキストが窃取されていました。盗まれたデータには、ブラウザに保存されていたクレジットカード情報などの個人情報も含まれます。また、『クリッパー』が最近アップデートされ、暗号通貨取引のクリップボードや宛先情報が変更されたことで、Raccoon Stealerは暗号通貨ウォレットも標的にするようになっています。また、感染したシステム上でのファイル(別のマルウェアなど)の検索やロードが可能です。サイバー犯罪者は、これらのデータを週75ドルで「貸し出し」するサービスなどを通じて、簡単にデータを収益化することができます」

Raccoon Stealerは通常、スパムメールによって拡散されます。しかし、ソフォスが調査したキャンペーンでは、クラッキングされたソフトウェアのインストーラーに見せかけたドロッパーが拡散経路となっています。このドロッパーは、悪意のあるブラウザ拡張機能、YouTubeのクリック詐欺ボット、Djvu/Stop(ホームユーザーを主な標的とするランサムウェア)など、追加の攻撃ツールをRaccoon Stealerにバンドルしています。

今回のRaccoon Stealer攻撃活動のオペレーターは、C&C 通信に初めてTelegramチャットサービスを使用した、とソフォスのリサーチャーは報告しています。

また、Gallagherは次のように述べています。「情報窃取ツールは、サイバー犯罪エコシステムの中で重要な役割を果たしています。短期間での投資回収が可能であり、大規模な攻撃につながる安価なエントリーポイントでもあります。サイバー犯罪者の多くは、盗んだ個人情報を『ダークマーケット』で販売します。そのため、そうした情報を購入したランサムウェア・オペレーターや初期アクセスブローカーなどによる攻撃によって、職場のチャットサービス経由で企業ネットワークに侵入するなどの犯罪が行われています。また、攻撃者は、同じプラットフォーム上の他のユーザーを標的とする攻撃にも認証情報を利用します。盗まれたユーザー認証情報には常に需要があります。中でも需要が高いのは、より多くのマルウェアをホストしたり拡散したりするために利用できる、正規サービスへのアクセスを提供する認証情報です。情報窃取ツールは、それほど大きな脅威ではないように思われていますが、実際は異なります」

そこでソフォスでは、社内のチャットやコラボレーション用オンラインサービスを利用している組織に向けて、多要素認証(MFA)を使用して従業員のアカウントを保護し、業務用リモートサービスにアクセスする全コンピュータに最新のマルウェア対策を導入することを推奨しています。

Sophos Intercept Xは、メモリ内の不審なアクティビティをスキャンしたり、ファイルレス・マルウェアから保護したりするなど、Raccoon Stealerをはじめとするマルウェアの動作と挙動を検知してユーザーを保護します。

ソフォスは、一般ユーザーがマルウェアやサイバー脅威から身を守るために、本人や家族がオンラインコミュニケーションやゲームに使用しているデバイスにSophos Homeなどのセキュリティソリューションをインストールすることを推奨しています。また、いかなるソースのものであっても、ライセンスを受けていないソフトウェアのダウンロードやインストールはしないことがセキュリティ上望ましいです。必ず最初に正規のソフトウェアであることを確認する必要があります。

Raccoon Stealerなどのサイバー脅威に関する詳しい情報は、SophosLabs Uncutをご覧ください。

ソフォスについて

ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。