Vert-Stealer — 情報窃取マルウェア(解析向け概要)
概要
Vert-Stealerは、Discordトークンの窃取、パスワードやブラウザクッキーの取得、ファイルの窃取、暗号通貨ウォレット情報の収集、さらに「Discord Injection」と称する挙動を含むとされるPythonベースのツールです。公開されているリポジトリには実行用スクリプト(main.py)やInjectionフォルダ、画像やリリース配布へのリンクが含まれており、攻撃者向けの機能群を持つことを示唆しています。本記事ではリポジトリの構成と技術的な観点、検出・対策上の留意点を中心に解説します。
リポジトリの統計情報
- スター数: 42
- フォーク数: 3
- ウォッチャー数: 42
- コミット数: 30
- ファイル数: 5
- メインの言語: Python
主な特徴
- Discordトークンやアカウント情報の窃取を目的とした機能群を含む
- ブラウザのパスワードやクッキー、ローカルファイル、暗号ウォレット情報の収集を想定
- 「Discord Injection」をうたうコードやモジュールを含有
- Pythonベースで、配布用ZIPやイメージなどドキュメント類を同梱
技術的なポイント
Vert-Stealerはリポジトリ構成からPythonスクリプト群を中核に、複数の情報収集モジュールで構成されることが読み取れます。main.pyがエントリポイントとして機能し、Injectionディレクトリには外部プロセスへのコード挿入やブラウザ拡張的な介入を想定したモジュールが含まれている可能性があります。こうしたツールは通常、ローカルファイルシステムからDiscordやブラウザの設定ファイル、SQLiteやJSON形式のストア、拡張機能のデータを走査し、資格情報やトークンを抽出します。採取したデータは暗号化やエンコードを経てC2や外部ストレージに送信されるケースが多く、リポジトリ上に通信先を埋め込むコードやWebhook情報、アップロード用のAPI呼び出しの痕跡があるかどうかは解析上の重要ポイントです。
静的解析では、依存ライブラリの確認(requests, pyinstallerなど)や難読化の有無をチェックします。動的解析はサンドボックス環境でネットワーク遮断・高度なモニタリングを行い、ファイル書き込みやプロセス挙動、レジストリ操作、ネットワーク通信の兆候を安全に観察することが推奨されます。特に「Discord Injection」と称する機能は、ブラウザやDiscordクライアントの挙動改変を伴う可能性があり、実行環境に重大なリスクを与えます。
検出と防御の観点では、エンドポイントでの実行ファイルのハッシュ監視、疑わしいプロセスからの外部接続の遮断、ブラウザの保存資格情報の多要素化(MFA)導入、暗号ウォレットの秘密鍵管理強化(ハードウェアウォレットの利用)などが有効です。また、企業環境では侵害の初期兆候(不審な外部アップロード、未知のスクリプトの起動、ログイン通知)をSIEMで相関させて検出ルールを整備することが重要です。リポジトリを解析する際は、法的・倫理的配慮を踏まえ、サンプルやビルド物を公共ネットワーク上で実行しない、解析は隔離されたオフライン環境で行う、という基本原則を徹底してください。
プロジェクトの構成
主要なファイルとディレクトリ:
- .github: dir
- Injection: dir
- README.md: file
- images: dir
- main.py: file
READMEの抜粋(要旨):
- Vert Stealer: Discord情報やパスワード、クッキー、ファイル、暗号ウォレットなどを取得すると明記
- リリース配布へのリンクやサポート連絡の記載あり
まとめ
悪用用途が明確なツールであり、解析は防御・教育目的に限定して慎重に行うべきです(対応策の整備を推奨)。
リポジトリ情報:
- 名前: Vert-Stealer
- 説明: VERT-STEALER Token Stealer, Discord Token Grabber , Discord Injection , Password Stealer, Cookie Stealer, File Stealer, Crypto wallet Stealer etc.
- スター数: 42
- 言語: Python
- URL: https://github.com/anadmolina/Vert-Stealer
- オーナー: anadmolina
- アバター: https://avatars.githubusercontent.com/u/22400260?v=4