脅威アクターがマルウェアを使ってパスワードを盗む方法
サイバー犯罪者やハッカーに加えて、「初期アクセスブローカー(Initial Access Broker)」と呼ばれる脅威アクターが存在する。彼らは、盗まれた認証情報(パスワードを含む)を売買し、それをハッカーが標的ネットワークやアカウントへの初期アクセスを得るために使うのだ。では、この初期アクセスブローカーはどのようにパスワードを入手しているのか。多くの場合、より下位の脅威アクターが「infostealer(インフォスティーラー)」と呼ばれるマルウェアを使って集め、それを他者に渡している。Specopsの分析によると、「infostealerがどのように機能するかを理解すれば、セキュリティ対策や防御策を強化するうえで大いに役立ちます。ソフトウェアを常に最新に保ち、強力かつ一意のパスワードを使用し、可能であれば多要素認証を導入することが重要」だという。
infostealerマルウェアによるパスワード攻撃フローは以下のようになる。
1.感染:フィッシングメール、悪意あるダウンロード、ソフトウェアの脆弱性を突く攻撃などを通じてシステムに侵入する
2.永続化:悪意のあるレジストリエントリやシステムファイルの改変、スタートアップへの登録などによって、長期的にデータを盗める体制を整える
3.データ収集:保存されているパスワードやクッキー、自動入力データなどをブラウザから取得したり、メールクライアントやFTPクライアント、ファイルシステム、クリップボードなどから機密情報を探して収集する
4.外部送信:盗んだデータをリモートのサーバーへ、ウェブプロトコル、メール、FTPサーバーなどを使って転送する
5.回避:コードの難読化や圧縮、ステルス通信、ルートキットなどを用いて検知されにくくし、システム内に隠れ続ける
6.実行::特定の時間帯や条件下のみ作動するよう設定されることが多い。レポートには、「たとえば、ユーザーがコンピュータを使用していないときだけ起動するよう設定される場合がある」と書かれている