Meduza:多様なブラウザ、暗号ウォレット、パスワード管理アプリを狙うステルス性の高いスティーラー | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Meduza:多様なブラウザ、暗号ウォレット、パスワード管理アプリを狙うステルス性の高いスティーラー

Threat Report

Silobreaker-CyberAlert

Meduza:多様なブラウザ、暗号ウォレット、パスワード管理アプリを狙うステルス性の高いスティーラー

佐々山 Tacos

佐々山 Tacos

2023.07.04

Meduza:多様なブラウザ、暗号ウォレット、パスワード管理アプリを狙うステルス性の高いスティーラー

Uptycsの研究者は最近、ダークウェブフォーラムやTelegram上で販売されている興味深いスティーラー「Meduza Stealer」を発見した。同スティーラーは、Windowsシステム上の多様なWebブラウザ、暗号資産ウォレット、パスワード管理アプリ、Discordなどからさまざまなデータを盗むことができる上、ステルス性が高く、名だたるアンチウイルスソリューションの検出を回避できるとされる。Uptycsによれば、その精巧さゆえ、Meduzaに狙われたことに気づかず対処できずにいると、金銭的な損失や大規模なデータ侵害といった深刻な結果がもたらされる恐れがあるという。

Meduzaスティーラーの特徴①:多数のブラウザやアプリからのデータ窃取

Meduzaスティーラーは、95種のWebブラウザ、19種のパスワード管理アプリ、76種の暗号資産ウォレット、Discord、Steam、二要素認証拡張機能からデータを盗むことができる。また盗むデータの種類も、システムに関する情報(OSやRAM、CPUの詳細、コンピューター名、スクリーンショットなど)、ブラウザ関連のデータ(ブラウザ履歴、クッキー、ログインデータなど)、アプリ内のID情報や認証情報、二要素認証コード、インストール済みゲームの情報など多岐にわたる。

Meduzaスティーラーの特徴②:追跡を困難にするワークフロー

Meduzaは標的マシンへの侵入を果たしたのち、以下のような流れでオペレーションを実施するという。

 

1, 地理的位置情報をチェック。被害者の所在地が事前に設定された10か国(ロシア、カザフスタン、ベラルーシ、ジョージア、トルクメニスタン、ウズベキスタン、アルメニア、キルギスタン、モルドバ、タジキスタン)のいずれかに該当する場合、オペレーションはストップされる。いずれにも該当しない場合は、次のステップへ進む。

 

2, 攻撃者のサーバーをチェック。攻撃者、つまりMeduzaのオペレーターのサーバがアクセス不能になっている場合、Meduzaの活動は即座に停止される。この仕様が、同スティーラーの追跡を困難にするのだという。しかしサーバーがアクセス可能だった場合は、次のステップへ進む。

 

3, 情報を窃取。上述したような多様なデータを盗み出すと、Meduzaはこれをパッケージ化してアップロードし、攻撃者のサーバーへ送れる状態にする。

Meduzaスティーラーの特徴③:高度なマーケティング戦略

Meduzaはダークウェブのサイバー犯罪フォーラムやTelegram上で盛んに宣伝されている。その際Meduzaの開発者は、顧客の信頼を得るために複数の一流アンチウイルスソリューションでMeduzaを動的・静的にスキャンし、その結果を写したスクリーンショットを共有するという高度なマーケティング手法を採用しているのだという。スクリーンショットからは、動的スキャンにおいても静的スキャンにおいても、名だたる多数のソリューションがMeduzaの検出に失敗している様子が伺える。また、盗んだデータへはユーザーフレンドリーな操作性の良いWebパネルから簡単にアクセスできる点も、同スティーラーの売りになっている。

Meduzaの価格モデル

希望者は、以下のいずれかのオプションでMeduzaを利用できるようになっている。

・月極のサブスクリプション(月額199ドル)

・3か月間ごとのサブスクリプション(399ドル)

・永久ライセンス(1,199ドル)

Meduza:懸念すべき新たな脅威

Meduzaは、パスワード管理アプリや二要素認証ツールなど、機密性の高い情報を有するツールからデータを盗むことができる上、ステルス性が高い。また同マルウェアの管理者は盛んな開発を続けているとみられ、今後新たな機能が追加されていく可能性もある。このため、現時点までにMeduzaに関連する具体的なインシデントの存在は明らかになっていないとはいえ、同マルウェアの及ぼし得るリスクを過小評価せず積極的に対策を講じていくことが重要になりそうだ。

 

(情報源:Uptycs ”Meduza Stealer: What Is It & How Does It Work?”、The Hacker News “Evasive Meduza Stealer Targets 19 Password Managers and 76 Crypto Wallets”)

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ