<危険>マルウェアRedLine Stealer感染72%チートツール原因か

Windows情報搾取マルウェア「RedLine Stealer」とは。ウイルス感染経路はオンラインゲームのチートツールや有償製品クラックのダウンロード原因7割。アカウントハック被害、危険YouTube乗っ取り感染動画の手口を紹介。



チートツールやクラックでウイルス感染 7 割

「レッドライン」 のウイルス感染経路…?

凸版印刷に所属するセキュリティ企業 Armoris の調査によると、「RedLine Stealer」 と呼ばれているマルウェア (コンピュータ ウイルス) に感染した日本国内の端末 928 台のうち 約 7 割 の原因が 不正ソフトのインストール だったそうです。 

パソコンに感染マルウェア 7割余が不正ソフトからか 自ら不正ソフトを使いマルウェアに感染する実態 オンラインゲームのチート・クラックツール41% 有償ソフトのクラックツール海賊版31%
コンピュータ ウイルスの感染経路は? (NHKニュース)

マルウエア感染の 7 割余 不正ソフトのインストールが原因か - NHKニュース 2021年11月
https://www3.nhk.or.jp/news/html/20211108/k10013338171000.html

パソコンに感染してクレジットカード情報や、通販サイトのパスワードなどを盗み取るマルウエアについて、感染経路の 7 割余りが、不正なソフトウエアのインストールが原因とみられることが情報セキュリティー会社の調査で分かりました。

どのような経路で感染するのか、去年から猛威を振るっている 「レッドライン」 と呼ばれる情報窃取型のマルウエアについて、情報セキュリティ-会社が日本の感染例 920 件余りの情報を解析したところ、74% が不正なソフトをみずからインストールしたことが原因とみられることが分かりました。

具体的には、▽オンラインゲームなどにずるして勝つための不正ソフトが 41%、▽有料のソフトを無料で使えるようにする不正ソフトが 31% でした。
【動画 - 調査結果のスライド画面】
24% = 感染経路不明
(円グラフの 41% を指して) 半数近くが YouTube 経由

【動画 - 調査したアナリストさんのコメント】
「検索サイトで上位に出てきたからといって、それが必ずしも安全というわけではありませんので…」


「チートツール」 をダウンロードしたらマルウェアだった

感染のキッカケになった不正ソフトについて NHK の記事では 「オンラインゲームなどにずるして勝つための~」 という説明的な表現になっていて苦笑いだけど、次のように 偽装 してマルウェアが配布されていたようです。

クラックツール、チートツール
オンラインゲームで有利になる、ゲームのコンテンツを改造する
cheat, crack, hack, mod menu, skin changer, unlock,
swapper, bot, aimbot, wallhack, spoofer

海賊版ソフトウェア
購入しないと入手できない有償製品の無料ダウンロード
free download, license key, keygen

出どころも何もあったもんじゃありません!

ダウンロードしてきた正体不明のプログラムは、実際にはマルウェアを掴ませる罠だったという悲劇で、Windows パソコン上で 実行ファイル をダブルクリックして起動した挙げ句の 自爆感染 になります。

Windows XP/Vista/7/8/10
× mac.OS
× Android
× iOS (iPhone / iPad)

「自業自得」 の一言で切り捨てられそうなお話だけど、日本でも感染例が普通にあって深刻な事態を招いているマルウェア 「RedLine Stealer」 の対応機能や感染経路について見てみましょう。

レッドライン 「RedLine Stealer」 ウイルスとは?

情報窃取型マルウェア 「RedLine Stealer」 (読み方 レッドライン・スティーラー) は、海外の闇サイトやフォーラムなどで販売されているサイバー犯罪者向けのソフトウェア製品です。

「stealer」 の意味 Firefly
「steal」 (盗む) + 接尾辞 「-er」 (~する人、物)

New Redline Password Stealer Malware - Proofpoint

2020 年 3 月初め、Proofpoint の調査員は、マルウェアの作者が RedLine Stealer と呼んでいる、これまでに知られていないマルウェアの配信を試みるEメールのキャンペーンを観測しました。この名称は、フォーラムでの広告、コードのコメント、コマンド&コントロール (C&C) の画面で確認できます。

パスワード搾取ウイルス RedLine は、ロシアのアンダーグラウンド フォーラムで販売されている新しいマルウェアです。オプションとして 150 ドルの Lite 版、200 ドルの Pro 版、100 ドル/月のサブスクリプションが用意されています。

このウイルスは、ログイン、オート コンプリート、パスワード、クレジットカードなどの情報をブラウザから盗みます。また、ユーザー名、地理的位置、ハードウェア構成、インストールされているセキュリティソフトなど、ユーザーとそのシステムに関連する情報を収集します。RedLine Stealer の最近のアップデートでは、暗号資産のコールド・ウォレットを盗む機能が追加されました。

セキュリティ会社が名付けたものではなく、ロシア語が母語と思われる開発者グループ自ら そう名乗っています。

Steam、Discord、FileZillaアカウントハック被害 RedLine マルウェアのコミュニティ
Telegram に作られた 「RedLine Stealer」 サポートチャンネル

MaaS (Malware as a Service)
SaaS をモチーフにした 「サービスとしてのマルウェア」。サイバー攻撃を実行するためのソフトウェアやハードウェアをサービスとして貸し出すシステム体系のこと。
MaaS の所有者は、マルウェアを使用する権利やマルウェアを配布するボットネットにアクセスする権利を有償で提供する。サービスの利用者には、攻撃を制御するための個人アカウントや技術サポートが提供される。

つまり、サービス提供者に利用料金を支払えば、特別なプログラミングの知識がなくても高機能なマルウェアを好き勝手に使う権利を手にできる仕組みです。

こうなると、攻撃者たちが地球上の Windows ユーザーを片っ端から狙ってマルウェア 「RedLine Stealer」 を投入してくる展開になり、ウイルス感染経路は 1 つとは限らなくなり、さまざまな形でマルウェアが流布されることになります。

Threat Profile: RedLine Infostealer United States/アメリカ Italy/イタリア Germany/ドイツ India/インド Peru/ペルー Belgium/ベルギー United Kingdom/イギリス Spain/スペイン Hong Kong/香港 Ireland/アイルランド Canada/カナダ Thailand/タイ United Arab Emirates/アラブ首長国連邦 Finland/フィンランド Indonesia/インドネシア Japan/日本 Mauritius/モーリシャス
「RedLine Stealer」 世界の検出状況 2021年11月
McAfee MVISION Insights


■ ネットサーフィン中にウイルス強制感染も

セキュリティ企業によると、2020 年 3 月に初めて観測されたマルウェア 「RedLine Stealer」 の攻撃の手口は、主に米国のユーザーを狙って新型コロナウイルス感染症をテーマにした不正なEメールの配信でした。

そして、ネットサーフィン中の Windows ユーザーを狙って 「RedLine Stealer」 の実行ファイルを問答無用で強制的に起動する攻撃が 2022 年に確認されています。

RedLine Stealer Resurfaces in Fresh RIG Exploit Kit Campaign - BitDefender
https://www.bitdefender.com/blog/labs/redline-stealer-resurfaces-in-fresh-rig-exploit-kit-campaign/

今年 2022 年の初め、私たちは CVE-2021-26411 のエクスプロイトを使って悪意のあるペイロードを配信する RIG Exploit Kit のキャンペーンに気づきました。このペイロードの 1 つが、2022 年 1 月 3 日 に Bitdefender Labs が捕捉したトロイの木馬 RedLine Stealer でした。
Redline Stealer Exploits CVE-2022-1096 in Chromium Browsers to Target Millions of Users - CloudSEK
https://cloudsek.com/threatintelligence/redline-stealer-exploits-cve-2022-1096-in-chromium-browsers-to-target-millions-of-users/

ネットサーフィンで不可欠なブラウザの脆弱性を悪用する手口で、知らないうちにマルウェアに感染してしまう展開です。

  • ブラウザ Internet Explorer、旧 Microsoft Edge の脆弱性

  • 旧ブラウザ プラグインの脆弱性
    └ 過去に Adobe Flash Player、Microsoft Silverlight、Oracle Java

複数の脆弱性が解決されずに放置されている Windows XP や Windows 7 でもない限り、この攻撃がモロに影響する Windows ユーザーさんは限定的でしょう。

Windows 8.1、Windows 10、Windows 11
Windows Update が滞りなく実施できているなら 100% 影響なし
→ マイクロソフトは 2021 年 3 月にセキュリティ更新プログラム配信済み
ブラウザ Edge や Chrome が最新版なら 100% 影響なし
→ グーグルなどは 2022 年 3 月下旬に緊急アップデート配信済み

盗める情報を奪うマルウェア 「RedLine Stealer」 の機能

この記事を書くにあたって 「RedLine Stealer」 のことを調べていると、海外のフォーラムでマルウェア 「RedLine Stealer」 の感染で盗み取った端末のデータ群を売りさばいている投稿を結構いろいろ見かけてゾッとしました。

海外フォーラムでは RedLine Stealer ウイルスを使って盗んだ大量の流出データを販売する投稿
190 ギガバイト分のデータが販売価格 450 ドル

いったい 「RedLine Stealer」 に感染したらどうなるのか、対応している機能をいくつか挙げます。


Windows 用 Chromium 系ブラウザに保存されている情報を盗む


RedLine Stealer が窃取する Windows ブラウザ例】
Chromium
Google Chrome
Opera
Opera GX
CoolNovo
Iridium Browser
CentBrowser
Chedot Browser
Vivaldi
Epic Privacy Browser
Sleipnir 5
Citrio Browser
Coowon Browser
Comodo Dragon
Torch Web Browser
Yandex Browser
Maxthon 3 Browser
Cốc Cốc
Brave
Microsoft Edge
CryptoTab Browser
ブラウザのヘルプページ
Google Chrome パスワードを管理する
https://support.google.com/chrome/answer/95606?hl=ja

Google Chrome フォームに自動入力する
https://support.google.com/chrome/answer/142893?hl=ja

Chrome で Cookie の削除、有効化、管理を行う
https://support.google.com/chrome/answer/95647?hl=ja

Microsoft Edge パスワードを保存または削除する
https://support.microsoft.com/ja-jp/microsoft-edge/b4beecb0-f2a8-1ca0-f26f-9ec247a3f336

Microsoft Edge 情報を自動的に入力する
https://support.microsoft.com/ja-jp/microsoft-edge/81da697c-9910-d9b8-d50a-1712d96f3db8

Microsoft Edge で Cookie を削除する
https://support.microsoft.com/ja-jp/microsoft-edge/63947406-40ac-c3b8-57b9-2a946a29ae09

Windows 用 Gecko 系ブラウザに保存されている情報を盗む

  • Cookie … 2 段階認証を突破される危険性

RedLine Stealer が窃取するブラウザ例】
Mozilla Firefox
Waterfox
K-Meleon
Mozilla Thunderbird
Comodo IceDragon
Cyberfox
BlackHawk Web Browser
Pale Moon
【ブラウザのヘルプページ】
Firefox に保存された Cookie とサイトデータを消去する
https://support.mozilla.org/ja/kb/clear-cookies-and-site-data-firefox

ゲーム クライアント 1 種のアカウント情報を盗む
Steam (Valve Corporation) Firefly
└ Steam Guard の SSFN ファイル … 2 段階認証を突破される危険性

コミュニケーション ツール 2 種のアカウント情報を盗む
Telegram
Discord
└ 認証トークン ldb ファイル … 2 段階認証を突破される危険性

FTP ソフト 1 種に保存されている Web サーバのアカウント情報を盗む
FileZilla Firefly

VPN ソフト 3 種に保存されている VPN サーバーの認証情報を盗む
NordVPN Firefly
OpenVPN
ProtonVPN

暗号資産 (仮想通貨) のウォレットデータを盗む
└ wallet.dat ファイルなど

Chrome ブラウザに追加できる拡張機能のデータを盗む
└ 暗号資産 (仮想通貨) のウォレットアプリ MetaMask など約 30 種

RedLine Stealer が窃取する Chrome 拡張機能ウォレット】
Yoroi
TronLink
Nifty Wallet
MetaMask
Math Wallet
Coinbase Wallet
Binance Wallet
BraveWallet
Guarda
EQUAL Wallet
Jaxxx Liberty
BitApp Wallet
iWallet
Wombat
Oxygen Atomic Crypto Wallet
MEW CX
GuildWallet
Saturn Wallet
Ronin Wallet
Terra Station Wallet
Harmony Chrome Extension Wallet
Coin98 Wallet
EVER Wallet
KardiaChain Wallet
Phantom
Pali Wallet
BOLT X
Liquality Wallet
XDEFI Wallet
Nami
Maiar DeFi Wallet
Temple Tezos Wallet
---
Authenticator 2FA

指定されたフォルダーや拡張子を元にファイルを探索して盗む

実行ファイル起動後にデスクトップの様子を写したスクリーンショット画像を保存する

攻撃者が指定する任意の実行ファイルを裏でダウンロードしてきて起動する


「RedLine Stealer」 感染で巻き起こる被害

こうして 「RedLine Stealer」 の感染をキッカケに 様々なウェブサービスのアカウントハック被害保有する仮想通貨の盗難、さらに最悪 Windows パソコンが マルウェアの巣窟 へ一直線です。

RedLine Stealer 機能 2 つ
① PC から様々な情報窃取を行うメイン機能
② 別のマルウェアを PC に感染させる仕組み

Twitter や Instagram を乗っ取られた、YouTube チャンネルに勝手に動画を投稿された、Steam アカウントを乗っ取られてゲームをプレイされた購入された、Discord アカウントを乗っ取られてフレンド全員にスパムメッセージを送信した、…枚挙にいとまがありません。

一方、マルウェア 「RedLine Stealer」 そのものには、Windows パソコンが稼働している最中に動作し続ける常駐プログラムのような仕組みがなく、ほんの数分で完了するであろう ① と ② の役割を無事に終えたら何もしません。

× キーボードの入力情報を盗む (キーロガー)
× パソコンの動作を監視したり遠隔操作をする (RAT)
× 他のパソコンへ自分自身の拡散を試みる (ワーム)

YouTube 経路で 「RedLine Stealer」 感染例

情報窃取型マルウェア 「RedLine Stealer」 (レッドライン・スティーラー) の厄介になるウイルス感染経路を画像付きで見てみます。

このウイルス感染経路は、Windows を保護するセキュリティの仕組みを迂回する施策が徹底されていて、無警戒なユーザーを吸い寄せる大きな橋渡しになっているのが動画配信プラットフォーム YouTube です。

  • マルウェア 「RedLine Stealer」 をダウンロードさせる最大規模の感染経路?

  • 自作コンテンツを公開できる正規のオンラインサービスが悪用されている
    → 明らかに不正と判断されそうな URL (ドメイン) が登場しない

  • ダウンロードさせる配布ファイルが 「パスワード付き」 というトリック


【1】

普段から利用する検索エンジン (ドメイン名 「google.co.jp」 「search.yahoo.co.jp」 など) を使い、人気ゲームの 「crack」 (クラック) ネタをキーワードにググりました。

いきなり検索結果の 1 ページ目に、もっともらしい YouTube のページがズラズラッとヒットします。

箱庭ゲーム「マイクラ」のクラックやチートでGoogle検索するとRedLineウイルスのダウンロードへ導くYouTube動画が表示される
Google 検索結果の上位に危険な動画が並ぶ

自社サービスの YouTube を検索結果の表示で優遇する仕組みが仇となっている。
一方、検索に使うキーワードは ”チート” や ”クラック” に限らない。求めるユーザーとダウンロードの需要さえあれば何でもよく、ゲームに関連する有用なプログラム、ゲームの fps を向上して快適にプレイできるようにするソフトウェアを餌にゲーマーを陥れる。暗号資産 (仮想通貨) を運用するユーザーを狙うなら、稼げる 「マイニング」 「トレーディング」 のソフトウェアで興味をひきつける。


【2】

アクセスすると、本物の YouTube の視聴ページ (ドメイン名 「youtube.com」) です。

投稿されている 英語 の動画は、「性的なコンテンツ」 「暴力的なコンテンツ」 は含まれておらず、Windows のデスクトップやゲームの画面の様子を映している内容です。

映像を視聴する分には何も問題はないけれど、危険なのが映像の下にある 説明欄 に記載された 〔ダウンロード用〕 と称する URL で、このリンクをユーザーにポチッとクリックするよう誘います。

YouTube映像の説明欄にクラックやMOD名目でRedLineウイルスのダウンロードURLが提示される
水増し操作で再生回数 5 千回の人気動画に…

この手口を採用する攻撃者は、マルウェア感染を意図する英語の動画を乗っ取られた YouTube チャンネル に投稿し続けている。被害者の Windows パソコンから盗まれたブラウザの Cookie を悪用することで、2 段階認証を突破して Google アカウントに不正アクセス していると考えられる。
動画の再生回数が数百~数万回に水増しされていたり、コメント欄が動画の内容を称賛するメッセージで溢れ返っていたり、攻撃者の計略で 「人気の動画」 に仕立て上げられていることも多い。
本来は問題のない YouTube チャンネルが豹変してあふれ返り、YouTube 運営スタッフがチャンネルを凍結させる対応が後手に回る ”イタチごっこ” の様相になっている。


【3】

アクセスすると、海外企業が運営する オンライン・ストレージ を始めとするファイルの投稿&共有が可能なサービス (ドメイン名 「mediafire.com」 「mega.nz」 「drive.google.com」 「sendspace.com」 「github.com」 「cdn.discordapp.com」 など) に誘導されます。

こうして簡単にダウンロードできた ”チートツール” や ”クラック” のファイルがマルウェア 「RedLine Stealer」 でした。

パスワードで暗号化された圧縮ファイル.zip内にマイクラのクラックツール・パッチ装うRedLineマルウェア実行ファイル.exe
圧縮アーカイブ内の実行ファイル 2 つが RedLine ウイルス

パスワードで暗号化された圧縮ファイル.rar内にRedLineマルウェア実行ファイル.exe
暗号化パスワード付きの .rar 内にポツンとマルウェア

YouTube経由でダウンロードしたRedLine Stealerマルウェア
実行ファイル以外のファイルやフォルダーは無害のダミー

パスワード付きrar圧縮アーカイブ内にマルウェアRedLine Stealer
有料サービスをタダで手にしようと企むゲーマー狙い撃ち

ダウンロードした配布ファイルの特徴
パスワード付き の圧縮アーカイブ (拡張子 .zip .rar .7z
アーカイブ内の Windows 向け実行ファイル (拡張子 .exe) が地雷
mac.OS、Android スマホ、iOS (iPhone / iPad) は影響なし
アーカイブ内に複数の無害なファイルやフォルダーを含ませてある場合あり
よくあるアプリの配布パッケージっぽく見た目の偽装でユーザーを騙す
実行ファイルのファイルサイズが 「数百メガバイト」 の場合あり
ファイルが極端に大きすぎる弊害の発生
→ セキュリティソフトのウイルス検出不全
→ セキュリティ会社へファイルの送信困難
→ VirusTotal へファイルのアップロード困難


パスワード付き圧縮アーカイブのトラップ

ダウンロードして入手した圧縮アーカイブの多くが パスワード付き なのがポイントです。

圧縮アーカイブの中身が何か分からない

【マルウェア感染攻撃を成功に導く急所】
ユーザーがダウンロード直後にセキュリティソフトでファイルをスキャンする
 ↓
セキュリティソフトはパスワード付きの圧縮アーカイブを 「無害」 と判定する
(理由 … 保護されている内部のファイルをスキャンできないため)
 ↓
結果を見たユーザーは問題のない安全なファイルを入手したと確信してしまう

同じように、オンライン・ストレージの運営元は圧縮アーカイブ内にマルウェアが含まれている事態を把握できず、利用規約で禁止されている マルウェアがオンライン・ストレージにアップロードされ放題 です。


最後は実行ファイルを踏んで感染 THE END

いちおう、圧縮アーカイブを解凍 (展開) した後のタイミングで、セキュリティソフトが活躍できる初めてのチャンスが訪れます。

ただ、セキュリティソフトの対応が後手に回る現実に出会うと、マルウェア 「RedLine Stealer」 の実行ファイル (拡張子 .exe) をダブルクリックで踏み抜いて THE END でしょう。

【Reddit で 「RedLine Stealer」 感染者の悲鳴】

https://www.reddit.com/r/techsupport/comments/uvgyqu/
自分は大バカです。オンラインで何かをダウンロードしたら、トロイの木馬 RedLine Stealer に感染した。Windows のウイルス対策ソフトでブロックしていたけど、なかなか消えず、間違って許可してしまった。自分の Instagram にログインされて仮想通貨詐欺のリンクが投稿されて、YouTube アカウントも削除された。どうしたらいいのか分からない。セーフモードと通常のモードで Malwarebytes を実行したけど何も見つからなかった。

https://www.reddit.com/r/antivirus/comments/pd8rkh/
ここに投稿するのは初めてだけど、昨日 Battle.net と Activision のアカウントが乗っ取られて、今日復旧したところです。Malwarebytes が 「bluehack.exe」 を 「Spyware.Redline Stealer」 として発見できた。それを確実に削除したけど、Avast の無料版で一晩中スキャンを実行していて、まだ何も見つかっていない。他にどんな安全対策をすればいいか教えてくれる? 他にどんな情報を持っていかれたか分からないし、もう流出させたくない。

https://www.reddit.com/r/techsupport/comments/t4xp0s/
自分はバカで、感染した .exe をクリックしてしまった (そう、前に VirusTotal で確認したけど安全そうだった)。Windows Defender が開いて、一瞬だけ 「RedLine Stealer」 と表示された後に隔離に移動された。.rar と展開されたファイルを削除して、隔離されたファイルを削除した。その直後、自分の Discord アカウントが乗っ取られて、自分のプロフィールでグループ/フレンドの全員にフィッシングのリンクが送信された。その後、感染した PC をインターネットから完全に遮断して、パスワードをぜんぶ変更して、送信されたリンクをぜんぶ削除した。

Windows、インターネット ブラウザ、セキュリティソフトが警告や確認を促したところで、探し物を見つけ出した自分に酔っていて気分が高揚していたり、セキュリティ意識が麻痺した Windows ユーザーさんは無視して突っ走ります。


マルウェア 「RedLine Stealer」 の危険ポイント

強力な武器を持つ攻撃者たちが現在進行形で活動している
→ ほんの数日前~数時間前に準備された新鮮なマルウェアを掴まされかねない

<正当なウェブサービスの悪用> × <パスワード付きの圧縮アーカイブ>
→ セキュリティソフトの過信は禁物、脅威を警告するチャンスが明確に潰されている

YouTube の動画コンテンツは安全と危険が隣り合わせ?
→ 深刻な状況に拍車をかける YouTube チャンネルの乗っ取り で玉石混交

RedLine Stealer ウイルスなどマルウェア感染、乗っ取られたYouTube動画のサムネイル画像
マイクラ、Apex Legends、フォートナイト、原神…


[YouTube 視聴 ウイルス感染] [YouTube 危険 動画] [YouTube 広告 間違えてクリック ウイルス] [ユーチューブ ウイルスが検出されました] [YouTube 見ただけでウイルス] [YouTube ウイルスが見つかりました] [YouTube セキュリティ警告] [YouTuber 乗っ取り 被害] [YouTube 乗っ取り 確認方法] [RedLine Stealer 感染したら] [RedLine Stealer とは]  [RedLine Stealer 特徴] [マイクラ チートツール] [原神 チートツール] [チートツール ダウンロード] [チートツール Apex] [チートツール PC] [チートツール フォートナイト] …

関連するブログ記事
パスワード保存の無効化 Chrome Edge Firefox
YouTube 乗っ取り確認方法 2段階認証の突破