<危険>ウイルス感染の偽ゲームchirigame.comダウンロード注意

危険な不正ドメインchirigame[.]comのアダルトゲーム・同人美少女エロゲー配布「Nutaku」「One Room」でWindows 7/8/10感染トロイの木馬ウイルスCinobi攻撃のマルウェア被害手口と実行ファイル.exeスクリーンショット画像

道に落ちている食べ物の拾い食いで地獄を見る?

成人向けコンテンツを餌に釣り糸を垂らし、無警戒なユーザーさんを巧妙にだまして、機密情報を盗み出す機能を持ったトロイの木馬 Cinobi を感染させる攻撃が確認されています。 <ヤバい

  1. Cinobi ウイルスを配布する不正なサイトへアクセスを誘う迷惑メール
    └ 日本国内ユーザー宛てに 「ゆうちょ銀行」 に成りすました偽メールが確認されている

  2. ネットサーフィン中に Cinobi ウイルスを問答無用で強制感染させる
    脆弱性 (ぜいじゃくせい) を悪用する攻撃で影響する環境は…
    └ セキュリティ対策の基本 Windows Update を実施していない環境
    └ マイクロソフトのサポートが終了している Windows XP/7/Vista

  3. 美少女キャラクターが登場する成人向けゲームを装って Cinobi ウイルスを配布する

この記事内で触れる Cinobi ウイルスの感染経路は 3 番目です。

美少女ゲーム偽装で Cinobi ウイルス感染手口

ウイルス配布サイト chirigame[.]com は、もっともらしく 「アダルトゲーム」 を配布するデザインを精巧に装っています。

【不正ドメイン ウイルス配布サイト URL】
https://www.chirigame[.]com/ ~ FireflyFramer
https://www.chirigame[.]com/download/ ~ FireflyFramer
https://www.chirigame[.]com/*/download.html
https://www.chirigame[.]com/*/done/thanks.html
チリゲーム? 名称の由来は謎

ウイルス感染のキッカケは、Windows ユーザーさんの意思でもって、表向き 「アダルトゲーム」 の無料ダウンロードという名目のダウンロードした実行ファイルを起動することです。

トロイの木馬ウイルスCinobiダウンロード感染 最新版の ゲーム を PC でインストールする方法 ダウンロードありがとうございます。簡単なステップでインストールが完了します。ファイルが自動的にダウンロードされていない場合は、手動でダウンロードしてください。
配布ページ 「最新版の ゲーム を PC でインストールする方法」
→ 現実にはコンピュータウイルスを感染させる案内

「アダルトサイトを見たらマルウェアに感染する」 は本当? - カスペルスキー
アダルトサイトは本当に、大勢の訪問者を利用してマルウェアを拡散しているのでしょうか?  もちろん、そんなことはありません。運営者の収入源は、コンテンツの閲覧と、皆さんおなじみの広告です。ウイルスやトロイの木馬などの悪意あるプログラムは、有料会員にとって不利益になるので、サイト運営側としてはまったく望んでいないのです。
しかし、サイバー犯罪者は他人のビジネスモデルなど気にしませんし、ハードポルノサイトが多くのアクセスを稼いでいることを見逃しもしません。彼らは、人の集まるアダルトサイトや、アダルトサイトにバナーをホストする広告プラットフォームを、折に触れてハッキングします。その結果、成人向けコンテンツにアクセスする人々は、そこから 「出会い系サイト」 に誘い込まれ、重要な個人データを差し出させられたり、情報という情報をこっそり盗み取る偽アプリをダウンロードさせられたりするのです。
https://blog.kaspersky.co.jp/porno-danger-fact-or-fiction/20019/

  • ウイルス配布サイトへ誘導される起点
    アダルトサイト上に出稿されている広告コンテンツ、バナー広告
    → ユーザーさんのクリック行動で配布サイトにたどり着く

  • ウイルス配布サイトは日本からのアクセス限定
    配布サイトにアクセスするユーザーさんのIPアドレスを分析
    → 地理的位置が日本以外と判定されるとアクセスを遮断して接続できない


ウイルスの実行ファイルのスクリーンショット

ウイルス配布サイト chirigame[.]com ドメインの配布ファイルは .zip 形式の圧縮アーカイブで、展開すると不正な Windows 向け実行ファイル .exe が登場します。

この実行ファイルにデジタル署名は付いておらず、製作者がハッキリしない野良プログラムです。

Cinobi 実行ファイル oneroom.exe ウイルス One Room アニメCinobi 実行ファイル nukakulauncher.exe ウイルス Nutakuランチャー
ダブルクリックして起動ダメッ!
ウイルスの実行ファイル画像

【ウイルス関連ファイル名】
・ 「misttraingirlsx.zip
・ 「oneroom.zip
 └ 実行ファイル 「oneroom.exe」 (サイズ 47.9 MB)

・ 「nutaku_launcher.zip
 └ 実行ファイル 「NutakuLauncher.exe」 (サイズ 49.1 MB)

 ↓ インストールされるファイル

・ 「LogiCapture.exe」 (デジタル署名 Logitech Inc) ※
MD5 0dea3efc702fefbdc3381963907233cc

・ 「Xjs.dll

※ 正規ソフトウェアの悪用
株式会社ロジクールが提供する Windows ソフトウェア 「Logicool Captureビデオ録画 & ストリーミング ソフトウェア」 の実行ファイル 「LogiCapture.exe」 が悪用されていて、不正な DLL ファイル 「Xjs.dll」 を裏で読み込むトラップになっている。


ウイルス感染の影響環境は Windows XP/Vista/7/8/10/11 パソコンで、それ以外のスマホや macOS は無関係です。


感染直前… もっともらしいインストール画面

問題の実行ファイル .exe を起動した直後の様子です。

まず最初に、不自然に見えないゲームのインストール画面が表示されて、下部の [次へ] ボタンを押して先へ進めることにより、Cinobi ウイルス関連のファイルが秘密裏に導入されます。 <即感染ではない

chirigame-installer
もっともらしいインストール画面で危険性に気づけない?

もう、この表示の時点で違和感に気づくのは無理ゲーでしょう。

  • セキュリティ製品の対応状況
    セキュリティソフトによる不正なファイルの検出率は低い?

厄介なことに、ウイルス感染が完了する状況に至るまで、セキュリティソフトが警告を表示してバシッと阻止することもなく、あっけなく Cinobi ウイルスが取り込まれてしまう危険性があります。

+ タガが緩む 「アダルトコンテンツ」 で人間の心理的なスキを突く
+ セキュリティ製品の検出を効果的にスリ抜けるウイルス隠蔽技術

Cinobi ウイルス感染被害の影響

Cinobi ウイルスについて紹介するセキュリティ記事によると、感染被害の影響として、ブラウザ上で行われた ネットバンキング仮想通貨取引所 のやり取りが傍受されるそうで、攻撃者による不正アクセスや不正送金が想定されます。

日本のユーザーだけ照準を合わせていることが明らかで、背後に海外のサイバー犯罪者がいるようです。

2020年3月 Operation Overtrap Targets Japanese Online Banking Users Via Bottle Exploit Kit and Brand-New Cinobi Banking Trojan - Trend Micro
https://www.trendmicro.com/en_us/research/20/c/operation-overtrap-targets-japanese-online-banking-users-via-bot.html

2020年4月 新種バンキングトロジャンを利用し国内ネットバンキング利用者を狙う「Overtrap作戦」 - トレンドマイクロ
https://blog.trendmicro.co.jp/archives/24640

2021年2月 When you gaze into the Bottle,... - Japan Security Analyst Conference 2021
https://blogs.jpcert.or.jp/ja/2021/02/jsac2021report3.html

2021年6月 Bottle Exploit Kitの活動観測 バンキングマルウェアCinobiの調査 - IIJ
https://wizsafe.iij.ad.jp/2021/06/1236/

2021年8月 Cinobi Banking Trojan Targets Cryptocurrency Exchange Users via Malvertising supapureigemu[.]com magicalgirlonlive[.]com chirigame[.]com - Trend Micro
https://www.trendmicro.com/en_us/research/21/h/cinobi-banking-trojan-targets-users-of-cryptocurrency-exchanges-.html

2021年8月 日本を狙うバンキングトロジャン「Cinobi」、不正広告経由で暗号資産サイトなどの認証情報を窃取する手口 - トレンドマイクロ
https://blog.trendmicro.co.jp/archives/28531
ESET Win32/Spy.Cinobi.A Win64/Agent.SC Win32/Agent.ACFG
Microsoft Program:Win32/Uwamson.A!ml
Trend Micro TrojanSpy.Win32.CINOBI.A Trojan.Win32.CINOBI.AC Trojan.Win32.SHELLOAD.AZ Trojan.Win32.CINOBI.A