Source: https://www.darkreading.com/vulnerabilities-threats/raven-stealer-scavenges-chrome-data-telegram
🛡 概要
Raven Stealerは、地下フォーラムやクラックソフトウェアを通じてクライアント環境に侵入する新しい軽量の情報盗難マルウェアです。このマルウェアは、Chromiumブラウザやその他のアプリケーションからデータを収集し、Telegramチャットアプリを利用してデータを外部に送信する独自の手法を持っています。Point WildのLat61 Threat Intelligenceによると、Ravenは「ステルスと効率性」を重視して設計されており、最小限のユーザーインタラクションで動作しながら高い運用の隠蔽性を維持しています。Ravenは、Google ChromeやMicrosoft EdgeなどのChromiumベースのブラウザからクッキーや自動入力エントリ、閲覧履歴を収集し、他のアプリケーションからも資格情報を盗むことができます。
🔍 技術詳細
Raven StealerはDelphiとC++で主に書かれており、軽量で効率的です。マルウェアの実行時には、すぐにデータを集約する報告メカニズムが起動します。この報告には、ログイン資格情報やシステム情報、ブラウザ関連のアーティファクトが含まれ、すべてが整理された形式でまとめられます。Ravenは、主にブラウザの認証データをターゲットとしており、ChromeやBraveなどのローカルストレージパスや資格情報ボールトにアクセスしてデータを抽出します。特に、Telegramを使用したデータの外部送信が特徴的で、暗号化されたメッセージングチャネルを通じてデータを送信し、従来のセキュリティフィルターを回避します。
⚠ 影響
Raven Stealerは、個人および企業環境において持続的な脅威をもたらします。攻撃者は、特にブラウザの認証データを盗むことで、アカウントの乗っ取りやデータの外部送信を引き起こす可能性があります。さらに、Ravenが収集したデータは、フィッシングやランサムウェアなどの他の悪意のある活動のための入り口となる可能性があります。現在、Ravenのような情報盗難マルウェアは急増しており、法執行機関の取り組みが進んでいるにもかかわらず、その拡散は続いています。
🛠 対策
Raven Stealerや他の情報盗難マルウェアの影響を軽減するために、組織は行動ベースの脅威検出を実施し、Telegramトラフィックを監視する必要があります。また、フィッシング戦術に関するユーザー教育を行い、ソフトウェアの脆弱性を修正するために定期的にパッチを適用することが重要です。さらに、リアルタイム保護のためにAV保護を更新し、職場のIT環境での海賊版やクラックソフトウェアのダウンロードを禁止することが、情報盗難マルウェアの一般的な配布手段を封じる助けになります。
