Cookie-Grabber-Creator:クッキー・トークン窃取ツール生成リポジトリの解析

Security
Cookie-Grabber-Creator:クッキー・トークン窃取ツール生成リポジトリの解析

Cookie-Grabber-Creator:クッキー・トークン窃取ツール生成リポジトリの解析

このリポジトリは「Cookie-Grabber-Creator」というツール群で、ブラウザのクッキーや認証トークン、パスワード、閲覧履歴、メール情報、IPアドレス、Windowsプロダクトキー、Robloxログイン情報など多数の機密情報を収集する“grabber”を生成することを目的としています。リポジトリ自体は生成器とセットアップスクリプトを提供しており、実行形式に変換して配布することを想定した構成です。本記事では機能の要約、技術的な観点、セキュリティ上の懸念点と防御策を整理します(研究・防御目的以外での使用は違法・非倫理的です)。

https://github.com/yousync-zhang/Cookie-Grabber-Creator

概要

Cookie-Grabber-Creatorは、他者の端末からブラウザやシステムに保存された各種機密情報を収集する「grabber」を作成するためのツール群を提供するリポジトリです。READMEやリリースノートには、トークン取得の高速化や難読化の追加、セットアップスクリプトの配布などの更新履歴が記載されています。リポジトリ自体は比較的小規模でファイル数も少なく、実行ファイル化(Python→EXEコンパイル)やDLL注入に関連した構成を示唆する記述が見られます。これらは攻撃者がターゲットに配布して情報を窃取する用途で用いることが想定され、悪用のリスクが高いため厳重な注意が必要です。

GitHub

リポジトリの統計情報

  • スター数: 68
  • フォーク数: 3
  • ウォッチャー数: 68
  • コミット数: 30
  • ファイル数: 3
  • メインの言語: 未指定

主な特徴

  • ブラウザのCookies、認証トークン、パスワード、閲覧履歴など多種類の機密情報をターゲットから取得することを目的としている
  • トークン取得処理の高速化やコード難読化(obfuscation)の追加といった迭代が行われている
  • 実行可能ファイル化(Python→EXE)やDLL注入に関する記述があり、配布・実行を想定した構成
  • リリースにセットアップスクリプトを同梱し、ユーザによる生成フローをサポート

技術的なポイント

このリポジトリは規模こそ小さいものの、いくつか技術的に注目すべき点があります。まずREADMEやアップデートログから、トークンを取得するための処理が複数回にわたり最適化されていることが読み取れます(「rewrote the token grabber to use a faster runtime」)。これは標的からのデータ抽出を迅速化して検出を回避しようとする典型的な改良点です。次に「obfuscation」の追加が明記されており、これは静的解析やシグネチャ検出を困難にするための難読化技術を導入していることを意味します。難読化は正当なソフトウェアでも用いられますが、マルウェアではしばしば検出回避のために使われます。

またREADMEに「injection.dll」や「setup file」を用いる記述があり、DLL注入やインストーラ形式での展開を行う可能性が示唆されます。DLL注入はプロセス内にコードをすり替えて権限のあるプロセスから情報を抜き取る手法で、実行ファイル化(Python→EXE)と組み合わせることで配布・実行のハードルを下げます。リポジトリ自体はソース数が少ないため、実際の動作はリリースに同梱されたバイナリや外部ファイルに依存している可能性が高く、攻撃インフラの一部に過ぎないことが考えられます。

防御側から見ると、こうしたツールは複数の検出面で対策できます。エンドポイント保護(EDR/AV)の導入、疑わしい実行ファイルや未署名バイナリのブロック、DLLインジェクション検出、プロセス・ネットワークの異常な振る舞い監視、資格情報・トークンの定期的なローテーションと多要素認証(MFA)の適用が有効です。さらに、リポジトリやサンプルを研究目的で扱う場合は、ネットワーク分離されたサンドボックスと読み取り専用の分析環境を用い、決して実運用端末で実行しないことが重要です。最後に、この種のツールは多くの国で不正アクセスや窃盗に該当するため、法的・倫理的な観点からも取り扱いに最大限の注意が必要です。

プロジェクトの構成

主要なファイルとディレクトリ:

  • .github: dir
  • README.md: file
  • SETUP SCRIPT IN RELEASES: file

まとめ

窃取目的のツールであり、取り扱いは厳重に制限すべきです。

リポジトリ情報:

注意: 本記事は解析・教育・防御目的の概説であり、ツールの実行方法や悪用につながる具体的手順は提供していません。違法行為や第三者のプライバシー侵害を助長する利用は厳に慎んでください。