悪意のあるアクターは、無防備な標的から情報を盗むために、様々なツールを駆使しています。近年、特に多く見られるようになってきたのは、Vidar Stealerです。このマルウェアの特筆すべき点は、目立たないようにデバイスに感染し、多岐にわたる情報を盗み、攻撃者に送信する能力に優れているということです。
そもそも、Vidar Stealerとは何でしょうか?また、このような攻撃はどのように行われるのでしょうか?
Vidar Stealerとは?
Vidar Stealer(「Vidarスパイウェア」と呼ばれることもあります)は、デバイスを攻撃し、そのデバイス内の個人情報や暗号資産ウォレットの詳細情報を盗むことを目的とするタイプのマルウェアです。Vidarの用途はこれだけではありません。デバイスにランサムウェアを配信する方法として使用されることもあります。
Vidarボットネットは2018年から存在していましたが、その正確な出自は不明でした。しかし、2023年11月のインタビューで、作成者はこのマルウェアがトロイの木馬Arkeiの進化形であると発言しました。このマルウェアは、Malware-as-a-Service(サービスとしてのマルウェア)として動作し、ダークウェブ上の開発者のWebサイトから直接購入することができます。
Vidarマルウェアは、コマンド&コントロールインフラ(またはC2通信)の活用方法で特に有名です。これは主に、TelegramやMastodonなどのソーシャルメディアネットワークを通じて発生し、最近ではソーシャルゲームプラットフォームのSteamでも発生しています。
Vidar Stealerの仕組み
Vidarは通常、C2インフラおよびそのプロセスの一部としてソーシャルメディアを使用しています。多くの場合、Vidarマルウェアには特定のソーシャルネットワークプロファイルへのアドレスが埋め込まれており、その仕様には関連するC2 IPアドレスが含まれています。これにより、スパイウェアがプロファイルを制御できるようになり、IPアドレスとの通信、ファイルや指示のダウンロード、さらには他のマルウェアのインストールまでも可能になります。
このように様々な機能がありますが、Vidarボットネットの本質はインフォスティラーであるため、その主な機能は感染したデバイスから機密情報を収集し、このデータを攻撃者に送信することです。Vidarが盗むことができる情報の種類は数多くあります。以下に例を挙げます:
- オペレーティングシステムのデータ
- ログイン資格情報
- クレジットカードや銀行口座の情報
- ブラウザーの履歴
- ブラウザーのCookie
- デバイスにインストールされたソフトウェア
- ダウンロードされたファイル
- 暗号資産ウォレット(具体的には、Exodus、Ethereum、MultiDoge、Atomic、JAXX、ElectronCash)
- スクリーンショット
- メール
- FTP資格情報
一部のケースでは、Vidarがデバイスにマルウェアをインストールする際に、C2インフラを使用して感染したファイルをダウンロードするリンクを指定し、実行します。これにより、攻撃者はデバイスにアクセスできるようになり、これを自身の目的に使用したり、ダークウェブ上で他のサイバー犯罪者に販売したりすることができます。
いったんデバイスにダウンロードされると、自身が検知されるのを防ぐために複数の手法を駆使します。多くの場合、ウイルス対策スキャナーに検知されないように、Vider Stealerは大きな実行ファイルを使用します。詳細な分析により、Vidarのサンプルにはファイルの末尾にヌルバイト(または.exeファイルの末尾にゼロ)が含まれており、これによりファイルサイズが人為的に大きくされていることがエキスパートにより発見されました。ファイルサイズが非常に大きな場合、マルウェア対策ソフトウェアのファイル制限を超えてしまうことがよくあります。その場合、ファイルの分析がスキップされてしまいます。さらに、保護ソフトウェアによる分析をより困難にするために、Vidarファイルは文字列エンコーディングや暗号化をよく使用します。また、期限切れのデジタル証明書で認証されたファイルも使用します。
標的としたデバイスに感染し、可能な限りの情報を盗み出すと、トロイの木馬VidarはすべてのデータをZIPファイルにパックし、コマンドサーバーに送信します。その後、マルウェアは自身を破壊し、デバイスシステム内に存在した痕跡をすべて削除します。 このため、Vidarマルウェア攻撃の調査は非常に困難です。
Vidarの拡散方法
Vidarマルウェアはほとんどの場合、スパムメールで拡散されます。 一般的には、オンライン購入の請求書やサブスクリプション更新の確認書に似せた、一見無害な未承諾メールが標的に送信されます。メールには通常、標的が詳細情報を確認するために開くように仕向けた添付ファイルが含まれています。 添付ファイルにはVidarマルウェアが埋め込まれており、標的がファイルを開くとマルウェアが展開されます。
最も多く見られるのは、マクロスクリプトを使用するMicrosoft Office文書が添付されているケースです。 こうしたケースでは、ドキュメントを開くと、ユーザーはマクロの実行を許可することを要求されます。 実行を許可すると、デバイスがマルウェアサーバーに接続され、Vidar Stealerのダウンロードが可能になります。Vidarマルウェアによる攻撃を抑制するために、Microsoftはマクロの実行方法を変更しました。
しかし、これはサイバー犯罪者がトロイの木馬Vidarを拡散させる別の方法を見つけるだけの結果となりました。別の方法として、次のような方法が挙げられます:
- ISOファイルの添付:Vidarマルウェアは、感染したMicrosoft Compiled HTML Help(CHM)ファイルや実行可能な「app.exe」ファイルなど、メールで添付ISOファイルとして配信されることもあります。これらの添付ファイルをユーザーが開いた時 に、マルウェアが起動します。
- ZIPアーカイブ:ある特定のケースでは、攻撃者はファッションブランドのH&Mになりすまし、受信者をGoogleドライブのフォルダーに誘導するフィッシングメールを送信しました。契約および支払い情報へアクセスするには、メールには、そのフォルダー内のZIPアーカイブのダウンロードが必要であると記載されています。ダウンロードしたファイルが開かれると、そこからVidar Stealer攻撃が開始されます。
- 不正インストーラー:攻撃者は、ユーザーがダウンロードする可能性のある正規ソフトウェア(Adobe PhotoshopやZoomなど)の不正インストーラーにVidarスパイウェアを埋め込み、スパムメールの添付ファイルとして標的に配信することがあります。
- Google検索広告:最近では、スクリプトにマルウェアが埋め込まれたGoogle検索広告を通じてVidarを拡散させるのが最もよく見られる手口の1つとなっています。 攻撃者は、正規ソフトウェアの発行元の広告を模倣したGoogle広告を作成し、不用心なユーザーがこのソフトウェアをダウンロードして実行すると、マルウェアが実行され、そのユーザーのデバイスに感染します。
- ランサムウェアとの連携:Vidarボットネットは、STOP/DjvuやGandCrabなどの各種のランサムウェアや、PrivateLoaderやSmokeなどのマルウェアと連携して攻撃を実行する場合があります。 この悪意のある攻撃では、2つのマルウェアが一緒に拡散され、より広範囲にわたる感染、データの盗難、そして感染したデバイスのユーザーに対する問題を引き起こしています。
Vidar Stealerから身を守る方法:5つの基本的な対策
Vidar Stealerは、特に悪質なマルウェアの代表といえます。ユーザーデータやシステム情報を盗むだけでなく、より多くの種類のマルウェアの配信に使用することができるためです。このため、個人や組織は、トロイの木馬Vidarによる攻撃の可能性を回避するための対策を講じる必要があります。ここでは、有効な5つの予防策を紹介します:
- この種のサイバー脅威を監視し、無害化するウイルス対策やウェブ脅威対策を使用しましょう。
- すべての受信メールをスキャンし、不審なメールをブロックするメールセキュリティ製品を使用しましょう。
- パスワードに関するベストプラクティスを覚えておきましょう。たとえば、パスワードマネージャーの使用、複雑なパスワードの作成、定期的なパスワードの変更などです。
- すべてのソフトウェアとオペレーティングシステムを常に最新の状態に維持し、最新のセキュリティパッチが導入された状態にしてください。
- コンピューターのシステムの完全スキャンを定期的に実行し、検知されていないVidarスパイウェアやその他の感染がないかをチェックし、あればそれらを削除してください。
こうした対抗策は、セキュリティ侵害の危険性や悪意のある活動に対抗するための、より広範なセキュリティ戦略の一部です。上記に加えて、仮想プライベートネットワーク(VPN)を使用して、デバイスのIPアドレスを秘匿し、オンライン活動をすべて暗号化するなどの対策も講じるべきでしょう。
Vidar Stealer:執拗な脅威
Vidarマルウェアは、高度な技術を駆使するスパイウェアです。 このような攻撃は、スパムメールや広告、クラックされたソフトウェアなどから開始されることが多いのですが、より悪質な点は、Vidarが盗むことができる情報量が往々にして膨大であることです。これにより、攻撃者はさらなる犯罪の実行やダークウェブでの販売に必要な大量の情報を得ることができます。 しかし、インターネットとメールの安全に関する基本的なベストプラクティスを常に心がけておくことで、Vidarの脅威による影響や攻撃の成功を最小限に抑えることは可能です。
カスペルスキー プレミアム + 1年間無料のカスペルスキー セーフキッズカスペルスキー プレミアムはAV-TESTで、ベストプロテクション、ベストパフォーマンス、最速VPN、Windows用ペアレンタルコントロール、Android用ペアレンタルコントロールのベストレーティングの5つのアワードを受賞しています。
関連記事とリンク:
関連製品とサービス:
