Elastic Security Labsは5月30日(米国時間)、「Chasing Eddies: New Rust-based InfoStealer used in CAPTCHA campaigns — Elastic Security Labs」において、ClickFix戦術を用いて配布された新しい情報窃取マルウェア「EDDIESTEALER」を発見したと報じた。

プログラミング言語にRustを採用するEDDIESTEALERは、その言語特性もあり分析が困難とされる。発見当初はサンドボックス/仮想マシン対策を欠いていたが、その後確認された亜種からはサーバサイドの対策がみられるとして、現在も開発中の可能性が指摘されている。

  • Chasing Eddies: New Rust-based InfoStealer used in CAPTCHA campaigns — Elastic Security Labs

    Chasing Eddies: New Rust-based InfoStealer used in CAPTCHA campaigns — Elastic Security Labs

侵害経路

Elastic Security Labsによると、初期の感染経路は侵害されたWebサイトだという。攻撃者は侵害したWebサイトに偽のCAPTCHAを表示し、人間確認に必要として悪意のあるコマンドをユーザー自身に実行させたという。

  • 偽のCAPTCHAの例 - 引用:Elastic Security Labs

    偽のCAPTCHAの例 引用:Elastic Security Labs

ユーザーが指示通りに操作すると、攻撃者の管理するサーバからJavaScriptがダウンロードおよび実行される。このJavaScriptの動作はシンプルで、攻撃者の管理するサーバーからマルウェア本体(EDDIESTEALER)をダウンロードして実行する。

  • 侵害経路 - 引用:Elastic Security Labs

    侵害経路 引用:Elastic Security Labs

情報窃取マルウェア「EDDIESTEALER」の機能

EDDIESTEALERはコマンド&コントロール(C2: Command and Control)サーバから指示されたタスクを実行する機能があり、そのタスクに基づいて機密情報を窃取するとされる。これまでに確認されている窃取対象の一覧は次のとおり。

  • システム情報
  • 暗号資産ウォレットの機密情報
  • Webブラウザの各種情報
  • パスワードマネージャーの機密情報
  • FTPクライアントの機密情報
  • Telegramの情報

上記一覧では具体的なアプリ名を省略しているが、広範囲のアプリを標的にしていることが確認されている。Google Chromeにおいては、パスワードマネージャーから認証情報を秘密裏に窃取することができるという。

情報窃取以外の機能としては、NTFSの代替データストリーム(ADS: Alternate Data Stream)を利用して、実行中の自分自身をファイルシステムから削除可能とされる。

対策

この攻撃では初期の感染経路にClickFix戦術が使用されており、同様のソーシャルエンジニアリング攻撃について理解し、回避することが推奨されている。

Elastic Security Labsは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「Observations」として公開するとともに、マルウェアを検出するYARAルールを「protections-artifacts/yara/rules/Windows_Infostealer_EddieStealer.yar at main · elastic/protections-artifacts · GitHub」にて公開しており必要に応じて活用することが望まれている。