New Google Chrome Malware with Sneaky Payload Steals User Credentials

サイバーセキュリティ企業は、オンライン環境を継続的にスキャンして、ユーザーのプライバシーを危険にさらす可能性のある新しいマルウェアの脅威を見つけ、そのような攻撃が行われる典型的な配信ベクトルを理解しています。最近、研究者は、既知の資格情報を盗む他の脅威と非常によく似た新しいマルウェアに出会いました。ただし、分析されたサンプルは、すべての一般的なインターネットブラウザーを標的とする他の既知の脅威とは異なり、Google Chromeブラウザーをターゲットとするという点だけでなく、使用するテクノロジーもユニークです。この新しい脅威は難読化されておらず、理論的にはマルウェア対策ソリューションによってブロックされるはずです。ただし、ほとんどの場合、アンチウイルスソフトウェアはそれを検出しません。これは、マルウェアアナリストにとって非常に困惑しています。

この新しい資格情報収集ツールによる感染は、基本的なドロッパーの助けを借りて発生します。このドロッパーは、現在のパスにフォルダー\ tempを作成します。このフォルダーのサイズは約6MBで、マルウェアの親フォルダーになります。この新しいフォルダーで、ドロッパーは/ deathディレクトリを削除する「death.bat」という名前の単純なスクリプトを作成します。次に、ドロッパーは、5つのDLLファイルとcURLを使用しているように見える「virus.exe」というバイナリで構成される6つの他のファイルを親フォルダーに作成します。研究者たちは、cURLを使用しているマルウェアの脅威は他に多くないことを指摘しており、これが新しい脅威を非常に興味深いものにしています。さらに、マルウェアのファイル名は明確であり、難読化や暗号化は使用していません。親フォルダーを埋めた後、マルウェアは「virus.exe」バイナリを実行し、マルウェアのすべてのトレースを削除するバッチスクリプトは5秒後に実行されます。次に、一般的なエラーメッセージを含むメッセージボックスがポップアップします。

マルウェアの主なペイロードの分析により、それがユーザーのプライバシーに対する真の脅威であることが明らかになりました。 Google Chromeは、ユーザー名とパスワードだけでなく、クレジットカードデータも保存します。通常のユーザーは、ブラウザが資格情報を保存するChromeファイルにアクセスするために管理者権限を必要としません。つまり、マルウェアはそのファイルにアクセスするために特権昇格ツールを必要としません。 Chromeの資格情報はSQLite DBファイルに保存されます。ブラウザーの保護メカニズムをバイパスするために、マルウェアは特定のChromeプロセスのみを強制終了し、DBファイルを開いていくつかのSQLクエリを実行し、ファイルに含まれる情報を読み取ります。その後、データが保存され、cURLを介してマルウェア自身のGoogleフォームに送信されます。その場合、無料のウェブベースのアプリGoogle Formsは、盗まれたデータを収集して保存するために攻撃者によって悪用されます。

運用フローに基づいて、この新しい脅威は、Chrome資格情報を盗む既知のマルウェアファミリーのメンバーとしては識別できません。非常に賢く、静かで、高速で、ディスク上にファイルを作成せず、レジストリを変更せず、全体として、感染したコンピューターに損害を与えません。一方、cURLとGoogle Formsを使用しているため、キャッチするのは困難です。また、パスワードやクレジットカード番号などの機密データを収集するため、いずれにしてもユーザーのプライバシーに対する深刻な脅威です。