Vital — Discord向け情報窃取マルウェアの解析と概要

Security
Vital — Discord向け情報窃取マルウェアの解析と概要

Vital — Discord向け情報窃取マルウェアの解析と概要

VitalはDiscordデスクトップクライアントからトークンやパスワード、クッキーを窃取し、長期的にDiscordフォルダへコードを注入して持続化を図る情報窃取型マルウェアです。本記事ではリポジトリの構成、主要機能、技術的特徴、検出・対策の観点から安全に理解できる要点を解説します(悪用手順は含みません)。

https://github.com/KarlArjns/Vital

概要

VitalはDiscordクライアントを主な標的とする情報窃取型マルウェアです。ブラウザのパスワードやクッキー、クレジットカード情報の抽出、DiscordトークンやMinecraft関連のクッキー収集に対応すると説明されています。さらに、Discordクライアントのファイルにコードを注入してリダイレクトや持続化を行う機能を持つ点が特徴です。本記事はリポジトリの構成と技術的特徴を安全な観点で解説し、検出と対策に焦点を当てます。

GitHub

リポジトリの統計情報

  • スター数: 72
  • フォーク数: 3
  • ウォッチャー数: 72
  • コミット数: 30
  • ファイル数: 4
  • メインの言語: Python

主な特徴

  • Discordデスクトップクライアントからのトークン・設定情報抽出を主目的とする。
  • ブラウザのパスワード、クッキー、クレジットカード情報の窃取機能をサポート。
  • Discordクライアント内ファイルを変更して持続化・リダイレクトを行う「注入」機能を実装する模様。
  • サーバ/送信側のコンポーネント(serverディレクトリ)を備え、収集データの回収を行う設計。

技術的なポイント

リポジトリはPythonを主体とし、少数のスクリプトとサーバ関連のディレクトリで構成されています。注目すべき技術面は「情報収集対象の広さ」と「持続化(長期稼働)を狙った設計」です。Discordトークンやクライアント設定はローカルファイルやブラウザのストレージに保存されるため、これらを読み取るロジックを組み合わせることでトークンやクッキーを抽出します。READMEにある”injection.js”の存在は、ElectronベースのDiscordクライアントに対してWebコンテンツやリソースを改変する手法を用いて持続化やリダイレクトを行うことを示唆していますが、リポジトリ自体は少数ファイルで完結しており、外部のサーバへ収集データを送信する仕組み(serverディレクトリ)を備えている点から典型的なC2(コマンド&コントロール)構成を想定できます。これらの特徴は、静的解析での指標(ファイル名、HTTP送信先のホスト名、特定のAPI呼び出しの痕跡)や動的解析時の挙動(プロセスのファイル操作、ネットワーク接続、レジストリの変更など)として検出可能です。また、ランタイムでの持続化はアプリケーションのリソース変更やスタートアップ項目の追加等、システム整合性を破壊する行為を伴うため、整合性チェックやリモート署名検証で予防可能です。なお、本稿は解析・防御に資する解説を目的としており、コードの実行・再利用方法や具体的な攻撃手順は記載しません。

プロジェクトの構成

主要なファイルとディレクトリ:

  • README.md: file
  • injection.js: file
  • main.py: file
  • server: dir

まとめ

Discordクライアントを標的にした情報窃取と持続化を目的とするマルウェアで、検出と対策が重要です(50字)。

リポジトリ情報:

READMEの抜粋:

Vital

  • What is Vital?

Vital is malware primarily used to collect and extract information from the Discord desktop client. While it has other features (MC stealer, browser tools) it really shines in this area.

  • Overview of Vital

Vital has the ability to steal browser passwords, cookies, and credit cards. It also collects Discord tokens, Minecraft client cookies and can redirect the Discord client to an alternative web address.

  • Support / coverage

Vital supports a plethora o…

注意と推奨対応:

  • 本リポジトリで公開されているコードは悪用されれば重大な被害を生じます。実行・配布は法的・倫理的に禁止される場合があります。
  • 疑わしい活動を検出した場合はネットワーク隔離、信頼できるアンチウイルス/EDR製品によるスキャン、トークンやパスワードの即時変更と多要素認証の有効化を行ってください。
  • 企業環境では侵害対応チームに連絡し、フォレンジック調査と必要に応じたクリーンインストールを実施してください。