アキラ・スティーラーは探知を回避する
2023 年初頭に発見された情報窃取マルウェア Akira は、保存されたログイン詳細、支払いカード情報、ユーザー名、システム ID、ハードウェア詳細、インストールされているソフトウェア、ネットワーク構成などの機密データを窃取する機能を備えています。このデータを抽出した後、オンライン ストレージ サービスである「GoFile」と、脅威アクターが管理する Discord メッセージング アカウントにアップロードします。 Cyber Security News に独占的に報告されているように、Akira Stealer はコードを隠蔽し、検出を回避するために多層の感染プロセスを採用しています。
この脅威アクターは、Telegram、C2 サーバー、および GitHub を通じてサービスも提供しています。さらに、このマルウェアは「完全に検出不可能」(FUD)であると主張しています。彼らの Telegram チャンネル「Akira」は現在 358 人の登録者を誇っています。さらに、攻撃者は「https[:]//akira[.]red/」で Malware-as-a-Service ドメインを提供します。
アキラがCMDスクリプトに入る
研究者は分析目的で、「3989X_NORD_VPN_PREMIUM_HITS.txt.cmd」という名前のサンプル ファイルを入手しました。このファイルは、難読化された隠されたコードを含む CMD スクリプトでした。特に、脅威アクターが主張しているように、このファイルは VirusTotal によって認識されません。実行すると、concealed.bat バッチ ファイルが現在のディレクトリにドロップされますが、これも検出されません。このファイルには、csscript.exe プロセス経由で実行するためにバッチ ファイルと tmp.vbs ファイルを統合する難読化された PowerShell スクリプトが含まれています。
情報の盗難に関しては、マルウェアは侵入した PC にちなんで名付けられたフォルダーを作成し、盗んだデータを保存します。その後、Microsoft Edge、Google Chrome、Opera、Mozilla Firefox、その他 14 のブラウザを含むさまざまな Web ブラウザから情報の盗難を開始します。さらに、このマルウェアは、保存されているクレジット カードの詳細やログイン資格情報を含む金融データをターゲットにし、ブックマークやウォレット拡張機能データを収集し、スクリーンショットをキャプチャすることにも熟達しています。
マルウェアはどのようにして検出を回避できるのでしょうか?
マルウェアはさまざまな手法を使用して、セキュリティ ソフトウェアによる検出を回避し、サイバーセキュリティ専門家の監視を回避します。これらの回避戦術には次のようなものがあります。
- ポリモーフィック コード: マルウェアはポリモーフィック コードを使用して、新しいシステムに感染するたびに外観を変更できます。このため、マルウェアのコードは常に変更されるため、シグネチャベースのウイルス対策ソフトウェアがマルウェアを識別してブロックすることが困難になります。
- メタモーフィック コード: ポリモーフィック コードと同様に、メタモーフィック コードも感染するたびに完全に書き換えられるため、検出がさらに困難になります。
- ルートキット手法: マルウェアはルートキット手法を使用して、システム上での存在を隠すことができます。ルートキットはオペレーティング システムを操作して、マルウェアのファイル、プロセス、レジストリ エントリを隠蔽します。
- 暗号化とエンコーディング: マルウェアは、コードを暗号化またはエンコードして、セキュリティ ソフトウェアで読み取れないようにすることができます。ペイロードがターゲット システム内に安全に到達してからのみ復号化またはデコードされるため、実行前に検出するのは困難です。
- ステルス読み込み: マルウェアは、ディスクに書き込まずにメモリに自身を読み込む手法を使用する可能性があり、ファイルベースのセキュリティ スキャンで検出される可能性が低くなります。
- 動的リンク: 一部のマルウェアは動的リンクを使用します。つまり、実行時に必要なライブラリのみが読み込まれるため、検出できる不審なファイルや関数の数が減少します。
- 分析対策技術: マルウェアは、サンドボックスまたは仮想環境で実行されていることを検出し、そのような状況では正常に動作するため、研究者によるその動作の分析が困難になります。
- コードの難読化: マルウェア作成者は意図的にコードを難読化することができるため、セキュリティ アナリストがマルウェアのロジックと機能を理解することが困難になります。
- ファイルレス マルウェア: 一部のマルウェアは完全にメモリ内で動作し、ファイル システムに痕跡を残さないため、シグネチャ ベースの検出方法を回避できます。