Sekoiaはこのほど、「Stealc: a copycat of Vidar and Raccoon infostealers gaining in popularity - Part 1」において、新たなインフォスティーラ型マルウェア「Stealc」の脅威について伝えた。「Stealc」は情報窃取を目的としたサイバー犯罪者グループを追跡している際に発見され、そのサンプルはVidar、Raccoon、Mars、Redlineといった他のインフォスティーラと酷似していると報告されている。

Stealc: a copycat of Vidar and Raccoon infostealers gaining in popularity - Part 1

Stealcは、2023年1月9日にロシア語圏のアンダーグラウンドフォーラムでPlymouthというハンドル名の開発者によって販売が始まったとされている。Webブラウザ、暗号資産ウォレット用のWebブラウザ拡張機能、暗号資産ウォレットアプリ、メールクライアント、メッセンジャーアプリなど、さまざなソフトウェアから機密データを窃取する機能を備えていると宣伝されていたことが確認されている。

Advertisement for Stealc stealer on underground forum, published by Plymouth on 9 January, 2023

マルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)として販売されている他のマルウェアと同様、ローダ機能も備えているとされ、マルウェアの設定や窃取したデータの解析が可能な充実した管理画面も提供されていることも判明している。

このマルウェアがサイバー犯罪者に使われ、40以上のStealcサンプルと35のアクティブなコマンド&コントロール(C2: Command and Control)サーバが存在することが調査により明らかにされている。SekoiaはStealcが機密データの窃取を目的としたサイバー犯罪者で広がり始めていると分析しており、このインフォスティーラが脅威者の間に人気を博していると伝えている。