目次
マルウェアの多くは、クレジットカード情報や個人情報などの機密情報を盗んだり、ファイルを乗っ取ったりするように設計されています。マルウェアは通常、電子メールの添付ファイルや、より一般的にはソーシャル・エンジニアリング攻撃によって、目立たないように人のコンピュータに侵入します。
マルウェアの中でも特に心配なのが、2020年以降によく出回っている情報窃取ソフト「FickerStealer」です'。それは何なのか?それは何をするものなのでしょうか?そして、もし被害に遭った場合、どうすればいいのでしょうか?
FickerStealerとは?
FickerStealerは、2020年8月にダークウェブで初めて検出されました。これは'主にWindowsシステムをターゲットとした人気の情報窃盗犯で、最初はTelegramでマルウェア・アズ・ア・サービス(MaaS)プログラムとして約200ドルで販売されました。当時、FickerStealerはさまざまな機能を搭載したものが販売されており、価格は900ドルにもなっていました。
FickerStealerは、被害者'のコンピュータに保存されている以下のような機密情報を盗むことができます。
- 暗号通貨ウォレットのアドレス
- ウェブブラウザのパスワード。
- クレジットカードの詳細情報
- SSHパスワードやFTPログイン情報。
- コンピュータのログインパスワード
- Windowsのクレデンシャルマネージャに保存されているすべてのクレデンシャル。
FickerStealerは、Chrome、Opera、Firefox、Edgeなどの一般的なものを含む40以上のブラウザから機密情報を盗むことができると主張し、自らを宣伝しています。
ブラウザに侵入すると、このマルウェアはデータを盗み出し、それをマルウェアの送信者に中継することが可能でした。FTPクライアントやOutlookやThunderbirdなどのメールアプリを使用している場合、FickerStealerはそれらからも情報を盗むことが可能でした。
そして、プロセッサ、インストールされたアプリケーション、CPU使用率など、コンピュータからあらゆる情報を収集することができ、スクリーンショットを撮ることも可能でした。
FickerStealerは、非常に効率的で高速なプログラミング言語であるRustとAssemblyで書かれています。Rust自体はかなり複雑な言語なので、リバースエンジニアリングが若干難しくなっています。
購入者は、ウェブベースのパネルにアクセスし、被害者から盗んだ情報を確認することができる。
FickerStealerはどのようにあなたのコンピュータに感染するのでしょうか?
多くのマルウェアと同様に、FickerStealerは様々な異なる手法で配布されています。
電子メールスパムキャンペーン
これらの電子メールは、価値のあるものを提供するように慎重に偽装されていることが多く、疑うことを知らない個人が添付ファイルをダウンロードすると、マルウェアは即座にファイルシステムに注入されます。これは、マルウェアが広がる最も一般的な方法の一つです。
これらのメールは、しばしば重要であるかのように偽装され、その性質上、公式に見えることさえあります。これらのメールには、.zip や .rar などの一見無害なファイルに見せかけた添付ファイルが含まれています。しかし、人がそれらをダウンロードするとすぐに、デバイスに感染するスクリプトが実行されます。
クラックされたソフトウェアの非公式ダウンロード
FickerStealerのような有害なマルウェアは、一般的に"クラックされた"または危険なソフトウェアのダウンロードを使用して配布されています。多くの人々は、ホスティングミラーやトレントのような非公式なソースからクラックされたソフトウェアプログラムをダウンロードします。
ほとんどの場合、これらのプログラムは、FickerStealerのようなマルウェアに感染しています。より多くのダウンロードを促すために、悪意のある行為者はしばしば、Microsoft Officeのような人気ソフトウェアのクラック版や新しいビデオゲームを提供すると主張します。オンラインでファイルをダウンロードする前に、サイトの信頼性など、重要なことを慎重に確認することが常に重要です。
ソフトウェア・アクティベーション・ツール
FickerStealerは、非公式なソフトウェア・アクティベーション・ツールを通しても容易に拡散することができます。これらのツールは、DRMの制限を解除し、ライセンスキーなしで制限されたソフトウェアを使用できるようにするためのもので、海賊版として使用されます。
一般的な例としては、Keygen(キージェン)またはキー ジェネレータがあります。これらはしばしば悪意のあるファイルを含んでおり、プログラムを実行するとすぐにあなたのコンピュータに感染します。
FickerStealerは、このような方法で大量に配布されました。このプログラムは、MaaSとして販売されていたため、悪意ある行為者は、配布方法に応じてプログラムの機能をカスタマイズすることが可能でした。
FickerStealerが人気を博した理由とは?
従来のマルウェアとは異なり、これはサービスとして販売されていました。そのため、購入者が契約に達すると、サーバセットアップと実行ファイルを含むカスタマイズされたマルウェアパッケージを受け取ることができました。
また、マルウェアの配布者は、C&C(コマンド&コントロール)サーバのアドレスも必要としており、購入者のサーバと通信するためにマルウェアのコードをカスタマイズすることができます。
FickerStealerは依存関係を持たないため、追加のライブラリをダウンロードすることなく実行することができ、信じられないほど高速に動作することができました。また、他のマルウェアとは異なり、C&Cサーバとの通信にHTTPプロトコルに依存していません。
通信はクライアント側でXORローテーションを用いて完全に暗号化されていたため、データを解読することは一般的に困難でした。さらに重要なのは、FickerStealerはログを一切残さないということです。
マルウェアがデータを盗んだらすぐにC&Cサーバに中継するだけなので、検出がはるかに難しくなります。従来のマルウェアは、データを書き込んで一時フォルダに保存してからC&Cサーバに送信するのが一般的でした。
FickerStealerの削除方法
FickerStealerは主にWindowsシステムをターゲットにしているため、以下の提案は主にWindowsシステムを実行しているユーザー向けのものです。
強力なアンチウイルスアプリを使用する
ウイルス対策は、悪意のあるソフトウェアを検出し、隔離し、コンピュータから削除するために必要です。Windows 11 には、いくつかの人気のあるアンチウイルスアプリがありますが、カスペルスキーなどの信頼できるアンチウイルスアプリを使用してコンピュータを保護することを強くお勧めします。
万が一、あなたのコンピュータがFickerStealerに感染していた場合、あなたのアンチウイルスはそれを検出し、感染したファイルを削除します。これはおそらく最も重要なステップです。マルウェアの場合、予防が最良の治療法だからです。
アンチウイルスアプリは、定期的にコンピュータをスキャンして、マルウェアやコンピュータワームなどの有害なプログラムを検出し、感染したファイルを隔離します。
ファイルシステムをフォーマットする
これは一般的に推奨される方法ではありませんが、もしあなたのコンピュータに機密ファイルがなく、FickerStealerを取り除く必要があるのなら、ハードドライブを完全にフォーマットすることを検討してもよいでしょう。しかし、これは本当にあなたが考える最後の手段であるべきです。
ドライブをフォーマットすると、オペレーティングシステムを含むドライブ上のすべてのファイルが削除されます(同じドライブ上にある場合)ので、再起動してオペレーティングシステムを再インストールする必要があるかもしれません。
ウェブブラウジングの安全性を確保する
マルウェアは、不審なファイルや電子メールの添付ファイルを通じて広がることがよくあります。信頼できないファイル、特に非公式なソースからのダウンロードを避けることが重要です。
また、非公式な送信元からメールを受信した場合、それを開く際には十分な注意が必要です。現在、ほとんどのメールサービスプロバイダーはマルウェアスキャンツールを内蔵しており、ファイルが感染していた場合は通知が届きます。
また、新しい内蔵ドライブ(ソリッドステートまたはハードドライブ)を接続した場合は、使い始める前に必ずフォーマットしてください。
