セキュリティ研究者によって、Pythonで開発された新しいバックドアが発見されました。このバックドアは、正規のトンネルサービスを橋渡しとして利用し、認証情報を窃取します。マルウェアは悪意のあるファイルを介して拡散し、アンチウイルスを回避するための回避技術を適用します。侵入後は、C2サーバーと暗号化された接続を確立し、トラフィックの遮断を困難にします。その目的は、ChromeやFirefoxなどのブラウザに保存されたパスワード、さらにAWSやAzureなどのクラウドプラットフォームへのアクセス情報を盗み出すことです。
データ窃取の隠れ蓑としての正規トンネル 🕳️
このバックドアは、正規のトンネルサービスを利用してコマンド&コントロールトラフィックを偽装し、境界セキュリティシステムによる検出を困難にしています。Pythonで記述されており、標準ライブラリを使用してオペレーティングシステムと対話し、ブラウザのパスワードストアからデータを抽出し、APIを介してクラウドサービスの認証情報を収集します。そのモジュール設計により、マルウェアの核となる部分を変更することなく、窃取モジュールを更新することが可能です。研究者らは、その回避能力にはサンドボックスチェックや自動分析を避けるための実行遅延が含まれると指摘しています。
サイバー犯罪者もVPNを使いこなす、ただし盗むために 🦹
どうやら悪者たちも時代に合わせて、仕事中にNetflixを見たいサラリーマンのようにVPNトンネルを使うようになったようです。違いは、彼らが探しているのはシリーズものではなく、あなたのAWSやAzureのパスワードだということです。最も悲しいのは、トンネルサービスが完全に合法で正規のものであるため、ツール自体を責めることすらできない点です。まるで泥棒があなたの家にたどり着くためにUberを使うようなものです。車に罪はありませんが、その移動自体は依然として怪しいものです。