ZeroTrace-Stealer-13-2026:データ窃取ツールの概要と解析

Security
ZeroTrace-Stealer-13-2026:データ窃取ツールの概要と解析

ZeroTrace-Stealer-13-2026:データ窃取ツールの概要と解析

ZeroTrace-Stealer-13-2026は、クライアント端末から各種情報(ブラウザのクッキーやパスワード等)を収集してサーバへ送信することを目的として設計されたC#製の情報窃取ツールと思われるリポジトリです。本記事ではリポジトリの構成と主要な特徴、技術的な注目点を整理し、検知や対策の観点から安全に扱うための注意点を解説します(解説は非実行・非誘導の観点に留めます)。

https://github.com/luis22d/ZeroTrace-Stealer-13-2026

概要

ZeroTrace-Stealer-13-2026はリポジトリのREADMEに「ZeroTrace Is Designed To Steal Data/Information Alot Of Stuff From Client And Send To Server. Updated To Latest Chrome Cookies/Passwords」と明記されており、明確に情報窃取(stealer)を目的とするコード群が公開されています。言語はC#で、.NET系アプリケーションとして実装されていると推定されます。ファイル群には設定ファイル(App.config)、Fody関連ファイル(FodyWeavers.xml等)、クライアントデータの保持を示唆するテキストファイル等が含まれており、バイナリ組み込みや難読化の痕跡が示唆されます。本記事は解析者・防御担当者向けに、構成や技術的注目点、安全に扱うための基本的な留意点を非実行・非誘導でまとめたものです。

GitHub

リポジトリの統計情報

  • スター数: 152
  • フォーク数: 144
  • ウォッチャー数: 152
  • コミット数: 4
  • ファイル数: 28
  • メインの言語: C#

主な特徴

  • C#/.NETで実装されたと推定される情報窃取(stealer)ツール。
  • ブラウザ(READMEではChrome)由来のクッキーやパスワード類の収集を意図した更新記載。
  • Fody関連ファイルの存在から、IL操作や難読化・ビルド後処理の利用が示唆される。
  • ClientData.txt等のファイルから、収集データの一時保存やログ出力機能が含まれている可能性。

技術的なポイント

このリポジトリは、.NETエコシステムにおける典型的な「情報窃取」マルウェアの実装パターンを示唆する複数要素を含みます。主に注目すべき点は次の通りです。

  • 実装言語とランタイム:C#で書かれているため、.NET Framework/.NET Coreランタイム上で動作します。これにより既存のWindows環境で実行しやすく、サードパーティDLLやNuGetパッケージを通じた機能拡張が容易です。

  • ビルド後の処理と難読化:Fody関連ファイル(FodyWeavers.xml等)が含まれている点は、ILの書き換えや自動的なコード挿入、あるいは難読化ツールの利用を示唆します。Fodyは合法的な用途(自動プロパティ注入など)でも使われますが、マルウェアでは検出回避やトレースの困難化に利用されることがあります。

  • 設定とデータ保存:App.configの存在は通信先や動作オプションを外部で設定できる可能性を示します。また、ClientData.txtのようなファイルは収集データのローカル保存を示唆し、解析者がサンプルを扱う際の証拠やログとして利用されている可能性があります。

  • ブラウザ関連の取り扱い:READMEが「Latest Chrome Cookies/Passwords」に対応と明記していることから、ブラウザプロファイルやSQLite形式のクッキーストア、暗号化されたパスワード保管領域を参照するロジックが含まれると想定されます。ただし、ここでは具体的な抽出手順やコードの再現は控えます。

  • 通信・送信経路:窃取した情報を“サーバへ送信”する旨が記されており、HTTP/HTTPSによるPOSTやWebSocket、あるいは専用プロトコルの利用が考えられます。通信はしばしば暗号化やステガノグラフィ、C2サーバのローテーションで難読化されますが、詳細な手順は開示しません。

  • リリース運用と証跡:リポジトリに画像やリリースのダウンロードリンクが存在することから、配布用のバイナリやスクリーンショットが添付されている可能性があり、公開されているリソースから動作の手がかりを得ることができます。

防御側の観点では、上記の特徴からエンドポイント検出(EDR)のルール作成、Fodyや特定のDLLを利用する不審プロセスの監視、App.configやClientData.txtなどの異常なファイル生成の検出、未知の外部通信先のブロックといった対策が有効です。解析時は隔離されたサンドボックス環境での静的・動的解析を行い、決して実運用環境での実行は避けてください。また、発見した場合は関係当局やプラットフォームに通報することを推奨します。

プロジェクトの構成

主要なファイルとディレクトリ:

  • App.config: file
  • ClientData.txt: file
  • Copy of Untitled Design (3).ico: file
  • FodyWeavers.xml: file
  • FodyWeavers.xsd: file

…他 23 ファイル

(注)リポジトリ内のファイルには実行可能バイナリや設定ファイル、画像などが含まれている可能性があるため、安全な隔離環境でのみ扱ってください。

まとめ

情報窃取を明確に目的としたC#製リポジトリで、防御側での早期検出と隔離が重要です。

リポジトリ情報:

READMEの抜粋:

ZeroTrace-Stealer-13-2026

ZeroTrace Is Designed To Steal Data/Information Alot Of Stuff From Client And Send To Server.

Updated To Latest Chrome Cookies/Passwords

1 2 3

Download Release: https://github.com/luis22d/ZeroTrace-Stealer-13-2026/r

注意:この記事は教育的・防御的観点からの解析であり、ツールの実行・再配布・悪用を助長することを意図していません。実際に該当リポジトリやファイルを扱う場合は法令・契約に従い、適切な権限と隔離環境のもとで行ってください。