Pythonバックドア「DEEP#DOOR」がブラウザ認証情報を窃取

概要

セキュリティ企業Securonixが、Pythonで開発された新型バックドア「DEEP#DOOR」の詳細を公開しました。このマルウェアはバッチスクリプト「install_obf.bat」によって配布され、Windowsのセキュリティ機能を無効化した後、埋め込まれたPythonペイロードを実行します。スタートアップフォルダやレジストリ、スケジュールタスクを悪用して永続化し、公開トンネリングサービス「bore.pub」を経由してC2通信を確立します。リバースシェル、キーロギング、スクリーンショット、Webカメラアクセス、ChromeやFirefoxなどのブラウザ認証情報、AWS・Google Cloud・Microsoft Azureなどのクラウド認証情報の窃取が可能です。現在のところ大規模被害は報告されていませんが、モジュール構造のため複数の脅威アクターが悪用する可能性があります。

元記事（The Hacker News）