stealer — C#ベースの情報窃取ツールの解析

Security
stealer — C#ベースの情報窃取ツールの解析

stealer — C#ベースの情報窃取ツールの解析

C#で実装された「stealer」は、主要なブラウザやメールクライアント、ウォレット、FTPクライアントなどからパスワードやクッキー、ブックマーク、オートフィル情報、デスクトップ内ファイルなどの機密データを収集して外部に送信することを目的としたリポジトリです。Visual Studioソリューションやサーバー側のgate.phpが含まれ、攻撃者のデータ吸い上げワークフローを想定した構成になっています(防御・解析目的での調査が推奨されます)。

https://github.com/majetyanupam/stealer

概要

このリポジトリ「stealer」は、C#で記述された情報窃取(stealer)ツールの実装を含んでいます。ターゲットとして主要なChromium系ブラウザ(Chrome、Opera、Edge、Chromium等)、Firefox、Internet Explorer、Outlookの資格情報やクッキー、ブックマーク、オートフィルデータ、ローカルのデスクトップファイル、FileZillaの設定、暗号通貨ウォレットなど多種の機密情報を収集することを目的としています。配布用のVisual Studioソリューション(st.sln)、サーバー側の受信スクリプト(gate.php)といった構成が含まれており、データの収集〜送信までを想定したワークフローが読み取れます。解析や検知対策、侵害対応のための調査用途での確認が重要です。

GitHub

リポジトリの統計情報

  • スター数: 75
  • フォーク数: 4
  • ウォッチャー数: 75
  • コミット数: 30
  • ファイル数: 4
  • メインの言語: C#

主な特徴

  • 複数のブラウザ(Chromium系、Firefox、IE)やOutlook、FileZilla、ウォレットなどから機密情報を収集する機能を標榜。
  • C#で実装されたクライアント(Visual Studioソリューション)と、受信・保管を想定したPHPゲート(gate.php)を同梱。
  • 収集対象はパスワード、クッキー、ブックマーク、オートフィルデータ、ファイル類、ウォレット情報など多岐にわたる。
  • 小規模なファイル構成で動作フローが明確(クライアント→サーバー送信)であり、解析・検出の観点で観察しやすい。

技術的なポイント

リポジトリはC#を中心に、クライアント側でローカル環境の複数ソースから情報を抽出し、外部サーバーへ転送するアーキテクチャを想定している点が読み取れます。Visual Studioソリューション(st.sln)が含まれているため、Windows向けのネイティブ実行ファイル(.exe)としてビルドされる設計です。ターゲットは主にユーザープロファイル内に格納されるブラウザデータやアプリ設定で、Chromium系ブラウザのローカルファイルやFirefoxプロファイル、Outlookの資格情報キャッシュ、FileZillaの設定ファイルなど、保存形式が異なる複数ソースから抽出ロジックを実装している可能性があります。リポジトリ内のgate.phpはサーバー側の受信ゲートを想定したPHPスクリプトで、クライアントが収集したデータをHTTP(S)経由でアップロードする仕組みを示唆します。こうした構成は一般的に「収集(Collection)→濾過・圧縮→送信(Exfiltration)」のワークフローを取り、ネットワーク通信やファイルI/O、暗号化・シリアライズの実装が重要な技術要素になります。一方で、READMEに記載される利用手順やサーバー設定などは悪用につながるため、ここでは実行や展開の具体的手順には踏み込みません。防御的観点では、こうしたツールの検出には実行ファイルの挙動監視(未知プロセスによるブラウザプロファイルアクセス、外部への定期的なアップロード)、EDRによる不審なファイル読み取りのアラート、ネットワークの異常通信検知、資格情報のローテーションと多要素認証の導入が有効です。法的・倫理的リスクが高いため、リポジトリの扱いは解析・防御目的に限定すべきです。

プロジェクトの構成

主要なファイルとディレクトリ:

  • README.md: file
  • gate.php: file
  • st.sln: file
  • wst: dir

まとめ

防御・解析目的での調査が必須な、情報窃取を目的としたC#実装リポジトリ。

リポジトリ情報:

READMEの抜粋:

Stealer

C# stealer Chrome, Opera ,Chromium ,Edge ,Firefox, IE passwords, cookies , bookmarks , autofill , vault , Outlook passwords , Filezilla , desktop files ,wallets

Upload gate.php to web server . Change the web server address in file Program.cs

(注)このリポジトリは機密データの不正取得を目的としたコードを含む可能性があります。解析や防御のために参照する場合でも、実行・配布は法的に問題が生じるため厳重な注意が必要です。