Collector-stealerはロシアを起源とするマルウェアで、エンドユーザーのシステムから機密データを抜き取りC&Cパネルに保存するためにインターネット上で多用されています。この脅威への対策に追われる業界を支援するため、F5のOffice of the CTO内にあるAdvanced Threat Research Center of ExcellenceのAditya K SoodとRohit Chaturvediは、Collector-stealerマルウェアを徹底分析し、バイナリ分析、動作、関連するC&Cパネルの設計など、未知のアーティファクトを明らかにしました。
Collector-stealerは、比較的短期間でかなり拡散しています。このマルウェアによって盗まれた情報は通常、不正な目的のために闇市場で利用されます。Collector-stealerを利用する攻撃者は主にヨーロッパの国々を標的としていますが、米国、中国、カンボジアなど他の国々のユーザーにも影響を与えています。
今回の分析で明らかになったCollector-stealerの注目点や特筆すべき特徴をいくつかご紹介します。
Collector-stealerは、幅広いマルウェア機能を備えているため闇フォーラムで人気がありました。多くのユーザーがこのマルウェアの購入に興味を示し、一部のグループがクラック版を提供しようとしていることが確認されています。ロシアのグループ「Hack_Jopi」は、2018年10月からCollector-stealerを複数のフォーラムで販売しています。
このマルウェアの分析の詳細を記した調査結果の全文は、Virus Bulletinで公開されています。上記およびその他の調査結果をまとめた研究論文については、以下をご覧ください。
https://www.virusbulletin.com/virusbulletin/2021/12/collector-stealer-russian-origin-credential-and-information-extractor/
Enjoy!