インフォスティーラーマルウェアの脅威
インフォスティーラー型マルウェアの概要、その手法、そして個人データへの影響。
― 1 分で読む
目次
マルウェアはコンピュータやデータを害する悪いソフトウェアだよ。インフォスティーラー・マルウェアっていうタイプがあって、これは被害者のコンピュータから個人情報を取っちゃうんだ。ユーザー名、パスワード、クレジットカードの詳細、その他の敏感なデータが含まれることもあるよ。この記事ではインフォスティーラー・マルウェアの仕組みや、どうやって売られているのか、いくらするのかを話すね。
インフォスティーラー・マルウェアって何?
インフォスティーラー・マルウェアは、感染したコンピュータから情報をキャッチして集めるために作られてるよ。被害者が知らないうちにこのマルウェアをインストールしちゃうと、攻撃者がその人の個人情報にアクセスできるようになるんだ。ログイン情報から銀行の情報まで何でも集めることができるよ。このマルウェアはファイルを壊すことはあまりないけど、価値のあるデータを盗むことに集中してるんだ。
どうやって広がるの?
インフォスティーラー・マルウェアは、いくつかの一般的な方法で広がるよ:
フィッシングメール:攻撃者がリアルに見える偽のメールを送るんだ。ユーザーがリンクをクリックしたり、添付ファイルを開くとマルウェアがインストールされる。
悪意のあるソフトウェア:人々が知らずに感染したソフトウェア、例えばクラックされたプログラムやゲームをダウンロードしちゃうこともある。
悪意のあるブラウザ拡張:信頼できない拡張機能をブラウザに追加することで感染することがあるよ。
スパムキャンペーン:攻撃者が大量の迷惑メールを送って、誰かが引っかかることを期待してるんだ。
マーケットプレイスの役割
一度マルウェアがコンピュータに感染すると、収集したデータは地下のマーケットプレイスで売られることがあるんだ。これらのマーケットプレイスは秘密裏に運営されていて、特別なネットワークを通じてアクセスされることが多い。ここでは、盗まれた情報が他の商品と同じように取引されるんだ。
ジェネシスマーケット
ジェネシスマーケットは、盗まれたデータが売買される違法なプラットフォームの一つだよ。犯人たちは compromised アカウントのアクセスを簡単に売れるんだ。このマーケットでは、ユーザー名、パスワード、被害者のオンラインアカウントにアクセスするのに役立つ情報がリストされてる。買う人にとって使いやすいように、特別なブラウザプラグインが提供されることもあるよ。
データベースマーケット
もう一つの例はデータベースマーケットだ。このフォーラムはアカウントの認証情報を売ることを専門にしてるんだ。ユーザーは、PayPalやSpotifyのような人気サービスの compromised アカウントへのアクセスを購入できる。価格はアカウントの種類や提供される情報によって異なるよ。
アクセスするのにいくらかかる?
盗まれた情報へのアクセスの価格は、被害者のデータの詳細に応じて大きく変わることがあるよ。研究によると、感染したデバイスへのアクセスのほとんどの価格は1ドルから20ドルの間で、中央値は約5ドルなんだ。より敏感なデータや複数のサービスがリンクされたアカウントの場合、価格は上がることがあるよ。
compromised アカウントの価格
オンラインアカウントになると、価格は少し高くなることが多い。こういったアカウントの価格は1ドルから30ドルの間で、中央値は7ドルだよ。価格は情報の価値やそれを使うのがどれだけ簡単かを反映してるんだ。
マルウェアの仕組み
コンピュータが感染すると、マルウェアが動き始めるよ。静かにデータを集めて攻撃者に送り返すんだ。これにはCommand Control (C&C)サーバーを通じて行われることが多いよ。このマルウェアは隠れてることができるから、一般的なアンチウイルスソフトウェアに見つけられるのが難しいんだ。
被害者の特定と保護
インフォスティーラー・マルウェアの影響を研究するために、研究者たちはその被害者を追跡してるんだ。ハッキングフォーラムからのログやデータを集めて、どれだけのコンピュータが感染したのか、何のデータが取られたのかを理解するんだ。実際の識別情報を隠して被害者のプライバシーを守ることが多いけど、トレンドやパターンに焦点を当てるよ。
サイバー犯罪の経済的側面
サイバー犯罪はデータを盗むだけじゃなくて、ビジネスみたいに運営されてるんだ。犯罪者たちはネットワークを形成し、正当なビジネスと似たような役割を持ってるよ。一部はマルウェアを作り、他の人たちはそれを広めたりデータを売ったりしてる。この組織的なアプローチが彼らの違法活動から利益を得る助けになってるんだ。
サイバー犯罪のバリューチェーン
感染からデータを売るまでがバリューチェーンを形成してるんだ。まず、マルウェアの作成者がソフトウェアを開発して配布する。人々が感染したら、ネットワークオペレーターがマーケットプレイスで被害者へのアクセスを売る。最後に、買い手たちはこのアクセスを使って盗まれたデータを悪用して利益を得るんだ。
一般的なターゲット
インフォスティーラー・マルウェアは、よく知られたオンラインサービスをターゲットにすることが多いよ。こういったプラットフォームには重要なユーザーデータがたくさんあるからね。一般的なターゲットには:
- ソーシャルメディア:FacebookやInstagramのようなサイト
- オンラインバンキング:金融情報が保存されてるサービス
- ゲーム:ユーザーがクレジットカードデータや個人情報を保存してる可能性があるプラットフォーム
攻撃者は、これらのサイトからデータを捕らえると最大の利益を得ることができるんだ。
検出の課題
マルウェアを見つけるのは難しいことがあるよ。多くの攻撃者は、悪意のあるコードを隠すための技術を使ってるから、アンチウイルスプログラムが見つけるのが難しいんだ。マルウェアは、セキュリティ対策を超えるために自分自身を更新することもあるよ。例えば、いくつかのインフォスティーラー・マルウェアは、セキュリティソフトウェアに見つからないようにいろんなステルスメソッドを使ってる。
結論
インフォスティーラー・マルウェアは、今のデジタル時代における大きな脅威だよ。個人情報を盗んで利益を得るために、巧妙な手法を使っているんだ。どうやって働いて、どうやって広がり、サイバー犯罪の経済がどんな風に機能しているのかを知ることで、より良いセキュリティ対策や対抗戦略を開発する助けになるかもしれないね。技術が進化するように、こういったサイバー脅威に対抗するアプローチも進化していかなきゃね。
気をつけて、オンラインで安全な行動をすることが重要だよ。こういったマルウェアの被害者にならないようにするためには、引き続きこの分野の研究が必要だからね。
タイトル: Malware Finances and Operations: a Data-Driven Study of the Value Chain for Infections and Compromised Access
概要: We investigate the criminal market dynamics of infostealer malware and publish three evidence datasets on malware infections and trade. We justify the value chain between illicit enterprises using the datasets, compare the prices and added value, and use the value chain to identify the most effective countermeasures. We begin by examining infostealer malware victim logs shared by actors on hacking forums, and extract victim information and mask sensitive data to protect privacy. We find access to these same victims for sale at Genesis Market. This technically sophisticated marketplace provides its own browser to access victim's online accounts. We collect a second dataset and discover that 91% of prices fall between 1--20 US dollars, with a median of 5 US dollars. Database Market sells access to compromised online accounts. We produce yet another dataset, finding 91% of prices fall between 1--30 US dollars, with a median of 7 US dollars.
著者: Juha Nurmi, Mikko Niemelä, Billy Bob Brumley
最終更新: 2023-07-17 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2306.15726
ソースPDF: https://arxiv.org/pdf/2306.15726
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。
参照リンク
- https://www.ifrs.org/content/dam/ifrs/publications/pdf-standards/english/2021/issued/part-a/ifrs-17-insurance-contracts.pdf
- https://raidforums.com/
- https://genesis7zoveavupiiwnrycmaq6uro3kn5h2be3el7wdnbjti2ln2wid.onion/
- https://www.netacea.com/wp-content/uploads/2021/04/Genesis_market_report_2021.pdf
- https://database6e2t4yvdsrbw3qq6votzyfzspaso7sjga2tchx6tov23nsid.onion/
- https://www.cambridgecybercrime.uk/process.html
- https://doi.org/10.5281/zenodo.8047204
- https://www.similarweb.com/top-websites/
- https://doi.org/10.1596/978-1-4648-0382-6_open_data
- https://doi.org/10.5281/zenodo.3969472
- https://metrics.torproject.org/userstats-relay-country.html
- https://data.worldbank.org/indicator/NY.GDP.PCAP.CD?most_recent_value_desc=true
- https://services.google.com/fh/files/blogs/google_security_infographic.pdf
- https://investor.fb.com/investor-news/press-release-details/2022/Meta-Reports-Fourth-Quarter-and-Full-Year-2021-Results/default.aspx
- https://gs.statcounter.com/os-version-market-share/windows/desktop/worldwide
- https://www.w3schools.com/browsers/default.asp
- https://www.cnnphilippines.com/news/2017/01/16/government-blocks-major-porn-websites.html
- https://www.bleepingcomputer.com/news/security/raccoon-stealer-malware-suspends-operations-due-to-war-in-ukraine/
- https://intsights.com/blog/massive-collection-1-data-dump-whats-in-it-and-how-did-it-happen
- https://resolver.tudelft.nl/uuid:01cb117a-339c-42e9-9691-8456a12e3947
- https://doi.org/10.1145/319709.319710
- https://doi.org/10.1109/eCrime54498.2021.9738751
- https://doi.org/10.1109/eCrime47957.2019.9037582
- https://doi.org/10.1007/s11416-008-0084-2
- https://doi.org/10.2139/ssrn.3226758
- https://www.unodc.org/documents/southeastasiaandpacific//Publications/2021/Darknet_Cybercrime_Threats_to_Southeast_Asia_report.pdf
- https://doi.org/10.1145/3372297.3417892
- https://atc.usenix.org/system/files/sec23fall-prepub-383-campobasso.pdf
- https://doi.org/10.1145/2488388.2488408
- https://doi.org/10.1145/1287624.1287628
- https://doi.org/10.1109/SP.2005.20
- https://www.cyberark.com/resources/threat-research-blog/predator-the-thief
- https://doi.org/10.17863/CAM.53769
- https://doi.org/10.1016/j.drugpo.2015.01.008
- https://doi.org/10.1080/15564886.2016.1173158
- https://www.cybersixgill.com/blog/painlessstealinitialaccessbrokers/
- https://isc.sans.edu/diary/Windows+MetaStealer+Malware/28522
- https://doi.org/10.1016/S1361-3723
- https://community.carbonblack.com/t5/Threat-Advisories-Documents/TAU-TIN-Kpot-InfoStealer/ta-p/88517
- https://doi.org/10.1007/978-1-4419-0140-8_9
- https://doi.org/10.1093/comjnl/bxv047
- https://doi.org/10.1145/3199674
- https://doi.org/10.1145/3427228.3427273
- https://www.bbc.com/news/technology-17524822
- https://www.usenix.org/events/sec09/tech/full
- https://doi.org/10.1109/csci49370.2019.00016
- https://doi.org/10.6028/NIST.SP.800-83
- https://doi.org/10.1145/2068816.2068824
- https://doi.org/10.1016/j.drugalcdep.2017.05.018
- https://dl.acm.org/citation.cfm?id=2987475
- https://doi.org/10.1016/j.cose.2013.09.006
- https://doi.org/10.1007/978-3-030-00470-5_10
- https://doi.org/10.1145/3178876.3186178
- https://doi.org/10.1109/EuroSPW55150.2022.00016
- https://doi.org/10.1109/EuroSPW51379.2020.00071
- https://doi.org/10.23919/CYCON.2019.8756845
- https://www.schneier.com/blog/archives/2021/05/adding-a-russian-keyboard-to-protect-against-ransomware.html
- https://doi.org/10.6028/NIST.SP.800-83r1
- https://www.usenix.org/conference/leet11/underground-economy-spam-botmasters-perspective-coordinating-large-scale-spam
- https://www.econinfosec.org/archive/weis2015/papers/WEIS
- https://www.bleepingcomputer.com/news/security/new-meta-information-stealer-distributed-in-malspam-campaign/
- https://www.law.berkeley.edu/wp-content/uploads/2015/04/Final_OpenDataLitReview_2015-04-14_1.1.pdf
- https://research.tue.nl/en/studentTheses/an-in-depth-analysis-of-the-azorult-infostealer-malware-capabilit
- https://doi.org/10.1145/3419394.3423636
- https://archive.org/details/marketanalysisas0000stev
- https://www.usenix.org/conference/cset18/presentation/zheng