StealC マルウェア ハッカーが Chrome ユーザーに Google パスワードの開示を強制
更新、2024 年 9 月 17 日: 9 月 15 日に最初に公開されたこの記事には、Web ブラウザー ユーザーを標的とした認証情報を盗む脅威の詳細が追加されました。
新たに公開された調査により、脅威アクターが、Chrome ブラウザ ユーザーに、ただのフラストレーションから Google アカウントのパスワードを明かさせるという、巧妙な新手法を使っていることが明らかになりました。StealC と呼ばれるマルウェアを使用した認証情報窃取キャンペーンは、ユーザーのブラウザをキオスク モードでロックし、F11 キーと ESC キーの両方をブロックして、このフルスクリーン モードから抜け出せないようにします。研究者によると、この迷惑で抜け出せないように見えるキオスク モードでは、ブラウザ画面に表示されるのはログイン ウィンドウのみで、ほとんどの場合、Google アカウント自体のログイン ウィンドウです。
ハッカーが新しい迷惑な手法を使って Google アカウントのパスワードを盗む方法
脅威の攻撃者は、貴重なGoogleアカウント、Gmailの受信トレイの鍵、その中にあるセキュリティ上の宝物、または暗号通貨ウォレットのパスフレーズにアクセスするために、さまざまな方法を使用しています。最近、 光学文字認識を使用して暗号パスワードを盗むマルウェア、そしてユーザーを騙して2段階認証コードを狙うものもある。 SMSメッセージの読み取り許可を与えるたとえば、StealC という新しいプレイヤーが登場しました。このプレイヤーは、Google アカウントの認証情報にアクセスするためのおそらく最も単純かつ最も効果的な方法、つまり被害者をひどく困らせる方法を使用します。
オープン・アナリシス・ラボの研究者らは、少なくとも8月22日からこの手法を使って認証情報流出キャンペーンが行われていることを明らかにした。 分析OALabs の研究者らは、ハッカーが被害者にブラウザに認証情報を入力させ、そこからマルウェアが認証情報を盗むことを確認した。「この手法では、被害者のブラウザをキオスク モードで起動し、標的のサービス (通常は Google) のログイン ページに移動します」と研究者らは述べた。キオスク モードはブラウザを全画面で展開するもので、被害者はブラウザから移動したりアプリを閉じたりすることができないため、この方法で罠にかかった不運な人々には、Google アカウントのログイン ウィンドウという 1 つのオプションしか利用できない。
Google アカウントの認証情報フラッシャーは認証情報を盗むものではありません
興味深いことに、認証情報フラッシャー自体は、実際には認証情報窃取型ではありません。代わりに、イライラした被害者がアカウント認証情報を自分で入力するために必要な力を適用するだけです。いったん入力すると、認証情報を窃取するごく一般的なマルウェア、この場合は StealC が展開され、Chrome ブラウザの認証情報ストアからパスワードを盗み出し、攻撃者に渡します。実際、このキャンペーン全体は、いくつかの既知の要素を使用することでのみ可能です。主に、少なくとも 6 年間使用されている Amadey ハッキング ツールがマルウェアをロードします。OALabs の研究者は、脅威インテリジェンス パートナーの功績を高く評価しています。 ローダーインサイトエージェンシー 典型的な攻撃ロードマップの作成に役立ちます:
- 被害者はアマディに感染しています。
- Amadey は StealC マルウェアをロードします。
- Amadey は資格情報フラッシャーをロードします。
- 資格情報フラッシャーは、キオスク モードでブラウザーを起動します。
- 被害者がログイン詳細を入力すると、それが StealC マルウェアによって盗まれます。
偽のログイン画面と 2FA コード グラバーを使用した新しい TrickMo 攻撃を確認
StealCの認証情報流出攻撃がまだ十分ひどいものではなかったとしたら、Chromeユーザーは別の認証情報窃盗の脅威を心配しているようだ。詐欺検出のスペシャリストであるCleafyの脅威インテリジェンスチームの研究者は、 TrickMoと呼ばれる既知のバンキング型トロイの木馬の新しい亜種 このアプリは、Android 用の Google Chrome ウェブ ブラウザ アプリを装っています。この不正なアプリをインストールすると、被害者は Google Play を更新する必要があるという警告と、確認ボタンのあるダイアログ ボックスを表示します。これは実際には Google Services という別のアプリをインストールし、そうです、ご想像のとおり、ユーザー権限を要求します。親切にユーザーをプロセスに導き、アプリのアクセシビリティ サービスを有効にするように促します。有効にすると、攻撃者は SMS メッセージや、この方法で配信された 2 要素認証のワンタイム コードを傍受するために必要な昇格された権限を取得します。TrickMo は HTML オーバーレイ攻撃も使用し、アカウント認証情報を取得するために、基本的に本物のログインのように見える画面を表示します。
ブラウザやデバイスのマルウェア検出機能による検出を回避するため、TrickMo の新しい亜種は、重要なシステム ファイルと同じ名前のディレクトリを追加するなど、不正な形式の Zip アーカイブ ファイルを使用する。「この巧妙な難読化戦略により、解凍操作でこれらの重要なファイルが上書きされ、その後の分析が妨げられる可能性がある」と研究者は述べ、サイバー防御者が使用する自動分析ツールがファイルの内容を調査することも困難になると付け加えた。「不正な構造によりエラーや不完全な抽出が発生し、分析プロセスが大幅に複雑になる可能性がある」
キオスクモード攻撃とTrickMo攻撃を軽減する方法
一見、シシュフォスの苦役のように思えますが、キーボードのESCキーやF11キーを使わずにキオスクモードを終了することは可能です。 ブリーピングコンピューター アドバイスします。
ユーザーは、Alt + F4、Ctrl + Shift + Esc、Ctrl + Alt +Delete、および Alt + Tab のホットキーの組み合わせを試すことが推奨されています。これにより、デスクトップにアクセスしてタスク マネージャーを起動し、その方法で Chrome ブラウザーを終了できます。Bleeping Computer はまた、Win キー + R の組み合わせを使用して Windows コマンド プロンプトを開き、そこから「taskkill /IM chrome.exe /F」で Chrome を終了することを推奨しています。
最後に、電源ボタンでシャットダウンするという究極の選択肢があります。この方法を取る場合は、必ず F8 キーでセーフ モードで起動し、マルウェア感染が再発しないようにシステム全体をスキャンしてください。
最新の TrickMo 亜種を使用した攻撃を軽減する場合、アドバイスはシンプルで、よく繰り返されます。公式の Play ストア以外のソースから Android ソフトウェアをダウンロードしないでください。
2 つのゼロデイ脆弱性を利用してパスワードを盗む Windows 攻撃チェーンが特定される
今月、特に警戒する必要があるのは、Google Chrome ウェブブラウザのユーザーだけではありません。すべてのブラウザユーザーが、新しい、特に危険な情報窃取の脅威に直面しているようです。米国のサイバー防衛機関を自称する米国サイバーセキュリティ・インフラストラクチャセキュリティ庁は、下位互換性のために使用されるブラウザコンポーネントに存在する Microsoft Windows のゼロデイ脆弱性を既知の脆弱性カタログに追加しました。拘束力のある運用指令 22-01 で義務付けられているように、連邦政府、行政機関、省庁、および機関を対象としたこの義務的な命令では、短期間ですべての KEV エントリにパッチを適用するためにシステムを更新することが求められています。CVE-2024-43461 の場合、それはわずか 3 週間で、10 月 7 日が目標日です。
CVE-2024-43461 は、Microsoft の最新の Patch Tuesday セキュリティ ラウンドアップで対処されましたが、2024 年 7 月にはすでに Void Banshee 高度持続的脅威グループによって悪用されていたことが判明し、ゼロデイ ステータスに更新されました。脆弱性自体は、Windows ユーザー向けの下位互換性のために Microsoft が使用する Trident と呼ばれる MSHTML ブラウザー エンジン内にあります。技術的に言うと、CVE-2024-43461 は実際にはエクスプロイト チェーンの一部であり、2024 年 7 月の Patch Tuesday アップデートで修正された非常によく似た脆弱性 CVE-2024-38112 と組み合わせて使用されます。これらはどちらもリモートの任意のコード実行ペイロード、MSHTML スプーフィングの欠陥です。
Windows のインターネット ショートカット ファイルを使用することで、攻撃者はクリックすると、長い間廃止され、時代遅れとなった Internet Explorer Web ブラウザーを呼び出すことができました。これにより、被害者は攻撃者の管理下にある Web サイトまたはページに誘導され、HTML アプリケーション ファイルのダウンロードが開始されます。ユーザーがこれをクリックすると (実際、ほとんどのこのようなエクスプロイトと同様に、ユーザーによるクリックが多数発生します)、スクリプトが実行され、Atlantida と呼ばれる情報窃取マルウェアがインストールされます。
トレンドマイクロによると ゼロデイイニシアチブ これらの攻撃で使用されたエクスプロイト チェーンを最初に発見した研究者によると、脆弱性は、ファイルのダウンロード後に Internet Explorer がユーザーにプロンプトを表示する方法に存在します。「巧妙に細工されたファイル名によって、実際のファイル拡張子が隠され、ファイルの種類が無害であるとユーザーに誤解させる可能性があります。攻撃者はこの脆弱性を利用して、現在のユーザーのコンテキストでコードを実行できます」と研究者は述べています。
Microsoft は、ほとんどのプラットフォームで Internet Explorer を廃止したが、基盤となる MSHTML、EdgeHTML、およびスクリプト プラットフォームは引き続きサポートされていることを確認しました。「MSHTML プラットフォームは、Microsoft Edge の Internet Explorer モードや、WebBrowser コントロールを介した他のアプリケーションで使用されています」と Microsoft は述べています。Void Banshee グループによって悪用されるこのチェーンなどの脅威から完全に保護されるように、Microsoft は、このようなレガシー アプリケーションに「セキュリティのみ」の更新プログラムをインストールするユーザーに、この脆弱性に対する最新の IE 累積更新プログラムもインストールすることを推奨しています。
Share this content:
