サイバー脅威
DiscordのCDNを介して拡散される情報窃取型マルウェア「Lumma Stealer」
本稿では、攻撃者がDiscordのCDN(Content Delivery Network)を悪用することでマルウェアの拡散を行う手口や、AIやディープラーニングを活用する情報窃取型マルウェア「Lumma Stealer」について解説します。
トレンドマイクロの最新調査により、攻撃者はDiscord のCDNを悪用することで、情報窃取型マルウェアLumma Stealerを拡散していることが判明しました。Discordは、オンラインゲーマー、コンテンツクリエイター、ストリーマー向けの人気チャットプラットフォームです。また、攻撃者がソーシャルプラットフォームのAPI(Application Programming Interface)を使用して、マルウェアを遠隔操作できるボットを作成していることも明らかになりました。なお、これらのボットのなかには、窃取したデータをDiscordのプライベートサーバやチャンネルに送信する種類も存在します。
ユーザの認証情報を窃取する Lumma Stealer は、プログラミング言語Cで書かれています。また、本マルウェアは、Discord の CDN を介して拡散する最新のマルウェアファミリの一つです。この情報窃取型マルウェアは、2022年8月に初めて検出されました。そして、2023年2月には、Lumma StealerがYouTubeのユーザをスピアフィッシング攻撃の標的としていたことが報告されました。
現在、Lumma Stealerはアンダーグラウンドフォーラムにおいて、サービスとして販売されています。当サービスの価格は、月額250米ドルから設定されています。まず、最も安いプランでは、ログ解析ツールへのアクセスやログの表示とアップロードが可能です。次に、プロフェッショナルプランでは、上記プランと同様の機能に加えて、トラフィック解析ツールへのアクセスが可能となります。そして、コーポレートプランでは、プロアクティブデフェンスをバイパスするサービスが加わり、価格は最も安いプランの4倍に設定されています。最後に、2万米ドルの最も高価なプランでは、購入者はソースコードへのアクセスや情報窃取型マルウェアを販売する権利を得ることができます。
技術的解析
通常、Lumma Stealerは、無作為に抽出したDiscordアカウントを使用し、被害者へダイレクトメッセージを送信します。また、アカウントへの不正アクセスを実行する際にも同様にDiscordアカウントを利用します。攻撃者は、あるプロジェクトへの協力を被害者に求め、支援と引き換えに10米ドルまたはDiscord Nitroのブーストを提供すると謳い、被害者を欺きます。
Discord Nitroのブーストは、Discordの有料プランであるNitroに加入しているユーザに付与される特典の一部です。ユーザは、有料プランに加入することで、サーバを強化する機能など複数の特典を得ることができます。攻撃者は、被害者がゲームをプレイした後に「数分しか要しない簡単なレビュー」を提出することと引き換えに、サーバブーストを提供すると主張します。そして、被害者が攻撃者の申し出に同意すると、ファイルをダウンロードするよう促します。
調査の結果、被害者は業務用コンピュータを使用した上で、Google Chromeを介して不正なDiscordメッセージにアクセスしていたことが判明しました。さらに、被害者が不正なリンクをクリックした結果、Lumma Stealerを含む以下のファイルが複数回ダウンロードされていたことも明らかになりました。
4_iMagicInventory_1_2_s.exe
実行を開始すると、検体ファイルは不正なドメイン「gapi-node[.]io」に接続し、ユーザから暗号資産のウォレットとブラウザデータを窃取しようと試みます。
Lumma Stealerの攻撃者は、アンダーグラウンドフォーラムにおいて、マルウェアに複数のファイルをロードする機能が加わったことを共有しています。また、ロードされるファイルは、他のマルウェアと関連していることが確認されています。さらに、攻撃者は、マルウェアが人工知能(AI)やディープラーニングを活用することで「bots」を検出する機能を有することを発表しました。ここで、攻撃者が主張する「bots」とは、研究者、解析環境、そしてエミュレータを指していると推測されます。なお、当機能は、アフィリエイトのログから無効な感染を選別するために用いられます。
トレンドマイクロの調査により、Lumma Stealer の最新バージョンが検出されました。
まとめ
提供元不明のファイルをダウンロードする際には、Lumma Stealerを含むマルウェアに感染する可能性があるため十分注意が必要です。また、リンクをクリックする際には、リンク先URLの安全性を確認してください。
情報窃取型マルウェアの被害に遭わないために、以下のセキュリティ上の推奨事項をご参照ください。
- 心当たりのないメッセージには、十分注意してください。また、添付ファイルの開封や、リンクをクリックする前に送信元を確認してください。
- 信頼性の高いウイルス対策ソフトを導入してください。定期的にスキャンを実行することで、最新の脅威からデバイスを保護することができます。
- コミュニケーションツールのインベントリを作成し、認可されていないツールに関しては、Trend Vision Oneの不審オブジェクトリストに追加することを検討してください。
- 企業や組織は、ソーシャルエンジニアリングや情報セキュリティに関するトレーニングを定期的に実施し、従業員のセキュリティリテラシーを向上させることが大切です。
トレンドマイクロのソリューション
Managed XDRは、企業や組織全体から収集された様々なデータセットに対して高度に専門的な解析を適用し、攻撃を特定し阻止します。優れた人工知能によるセキュリティ解析を用いることで、お客様の環境から取得されるデータとトレンドマイクロのグローバル脅威インテリジェンスから得られるデータの相関を的確に導き、必要最小限の信頼性の高いアラートを提供します。そのため、攻撃の早期発見が可能です。また、アラートは優先度に従って最適な形で集約され、一つのコンソールで閲覧できます。これにより、攻撃経路や組織への影響の全体像も容易に把握できます。
Trend Service Oneは、24時間365日の迅速なサポート、Managed XDR、インシデントレスポンスサービスにより、企業や組織のレジリエンスを向上させます。このサービスでは、ソリューションの自動アップデート及びアップグレード、オンデマンドトレーニング、ベストプラクティスガイドを提供します。また、お客様の環境を理解した専任のエキスパートが、セキュリティ体制の最適化に向けたアドバイスを提供します。
Trend Micro Apex Oneは、ファイルレス攻撃やランサムウェアなど、より高次元の脅威に対し、次世代レベルの自動脅威検知機能及び防御を提供し、確実にエンドポイントを保護します。また、高度な EDR機能、強力な SIEM統合、オープンAPIの実装により、対処に必要なインサイト、拡張された調査機能、一元化された可視性を得ることができます。
Trend Micro Cloud One - Endpoint SecurityおよびWorkload Securityは、一元化された可視性、管理、役割ベースのアクセス制御を通じて、エンドポイント、サーバ、クラウドワークロードを保護します。また、それぞれのお客様の多様なエンドポイントやクラウド環境に対応した専門的なセキュリティを提供し、複数のセキュリティ対策にかかるコストや複雑さを解消します。
Trend Micro Cloud One - Network Securityは、従来の侵入防止システム(IPS)機能を超えて、強力なハイブリッドクラウドセキュリティプラットフォームの一部として仮想パッチおよび侵害後の検出と阻止を提供します。
参考記事
Beware: Lumma Stealer Distributed via Discord CDN
By: Carl Malipot
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)