SnappyClientマルウェア
SnappyClientは、C++で記述された高度なマルウェアであり、HijackLoaderと呼ばれるローダーを介して配布されます。リモートアクセス型トロイの木馬(RAT)として機能し、サイバー犯罪者が侵害されたシステムを乗っ取り、機密データを抜き取ることを可能にします。デバイスに侵入すると、マルウェアはコマンド&コントロール(C2)サーバーに接続し、指示を受信して悪意のある操作を実行します。
目次
回避技術とシステム操作
SnappyClientは検出されないようにするため、Windowsに組み込まれているセキュリティ機構を妨害します。その主要な手法の一つは、スクリプトやコードの悪意のある動作をスキャンする役割を担うアンチマルウェアスキャンインターフェイス(AMSI)を改ざんすることです。マルウェアはAMSIが脅威を検知するのを阻止するため、その出力を操作して、有害な活動が安全に見えるようにします。
このマルウェアは、その動作を規定する内部設定リストにも依存しています。これらの設定によって、収集されるデータ、データの保存場所、永続性の維持方法、および特定の条件下での実行継続の可否が決定されます。この設定により、マルウェアはシステム再起動後もアクティブな状態を維持します。
さらに、SnappyClientは攻撃者が制御するサーバーから2つの暗号化されたファイルを取得します。これらのファイルは隠蔽された形式で保存され、感染したシステム上でマルウェアの機能を動的に制御するために使用されます。
広範なシステム制御機能
SnappyClientは、攻撃者に侵害されたデバイスに対する高度な制御権限を与えます。スクリーンショットをキャプチャしてリモートオペレーターに送信することで、ユーザーのアクティビティを直接把握できます。また、このマルウェアは完全なプロセス管理機能も備えており、攻撃者は実行中のプロセスを監視、一時停止、再開、または終了できます。さらに、正規のプロセスへのコードインジェクションをサポートしているため、システム内で密かに動作することが可能になります。
ファイルシステムの操作も、このマルウェアの重要な機能の一つです。ディレクトリの閲覧、ファイルやフォルダの作成・削除、コピー、移動、名前変更、圧縮、解凍といった操作が可能で、パスワードで保護されたアーカイブも例外ではありません。さらに、ファイルの実行やショートカットの解析も可能です。
データ窃盗および監視機能
SnappyClientの主な目的はデータ漏洩です。キー入力を記録し、取得したデータを攻撃者に送信するキーロガーが内蔵されています。さらに、ログイン認証情報、Cookie、閲覧履歴、ブックマーク、セッションデータ、拡張機能関連情報など、ブラウザやその他のアプリケーションから幅広い機密情報を抽出します。
このマルウェアは、攻撃者が定義したファイル名やパスなどのフィルタに基づいて、特定のファイルやディレクトリを検索して盗み出すこともできます。データ漏洩に加えて、リモートサーバーからファイルをダウンロードし、感染したマシンにローカルに保存することも可能です。
高度な実行および悪用機能
SnappyClientは、悪意のあるペイロードを実行するための複数の方法をサポートしています。標準の実行可能ファイルを実行したり、ダイナミックリンクライブラリ(DLL)をロードしたり、アーカイブファイルからコンテンツを抽出して実行したりできます。また、攻撃者は作業ディレクトリやコマンドライン引数などの実行パラメータを定義することも可能です。場合によっては、ユーザーアカウント制御(UAC)を回避して特権昇格を試みることもあります。
その他の注目すべき機能としては、隠しブラウザセッションを起動する機能があり、攻撃者はユーザーに気づかれることなくウェブアクティビティを監視・操作できます。また、システムコマンドをリモートで実行するためのコマンドラインインターフェースも備えています。クリップボード操作も危険な機能の一つで、仮想通貨ウォレットのアドレスを攻撃者が管理するアドレスに置き換えるために悪用されることがよくあります。
対象となるアプリケーションとデータソース
SnappyClientは、特にWebブラウザや暗号通貨ツールなど、幅広いアプリケーションから情報を抽出できるように設計されています。
対象となるウェブブラウザは以下のとおりです。
360 Browser、Brave、Chrome、CocCoc、Edge、Firefox、Opera、Slimjet、Vivaldi、Waterfox
対象となる仮想通貨ウォレットおよびツールは以下のとおりです。
Coinbase、MetaMask、Phantom、TronLink、TrustWallet
Atomic、BitcoinCore、Coinomi、Electrum、Exodus、LedgerLive、TrezorSuite、Wasabi
このような広範囲にわたる標的設定は、金銭窃盗や認証情報漏洩の可能性を著しく高める。
欺瞞的な配布方法
SnappyClientは主に、ユーザーを騙して悪意のあるファイルを実行させることを目的とした巧妙な配信手法によって拡散されます。一般的な手法の一つとして、正規の通信会社を装った偽のウェブサイトが挙げられます。これらのサイトにアクセスすると、被害者のデバイスにHijackLoaderが密かにダウンロードされます。HijackLoaderが実行されると、SnappyClientが展開されます。
別の攻撃手法では、X(Twitterとしてよく知られている)などのソーシャルメディアプラットフォームが利用されます。攻撃者は、ClickFixなどの手法を用いて、ユーザーをダウンロードに誘導するリンクや指示を投稿します。これらの行為は最終的にHijackLoaderの実行とマルウェアのインストールにつながります。
感染のリスクと影響
SnappyClientは、そのステルス性、汎用性、そして広範な機能ゆえに、深刻なサイバーセキュリティ上の脅威となります。一度導入されると、攻撃者はユーザーの活動を監視し、機密情報を盗み出し、システム操作を操作し、さらに悪意のあるペイロードを実行することが可能になります。
このような感染による影響は深刻で、アカウントの乗っ取り、個人情報の盗難、金銭的損失、さらなるマルウェア感染、長期的なシステム侵害などが含まれる。
