<危険>マルウェアRedLine Stealer感染72%チートツール原因か
チートツールやクラックでウイルス感染 7 割
「レッドライン」 のウイルス感染経路…?
凸版印刷に所属するセキュリティ企業 Armoris の調査によると、「RedLine Stealer」 と呼ばれているマルウェア (コンピュータ ウイルス) に感染した日本国内の端末 928 台のうち 約 7 割 の原因が 不正ソフトのインストール だったそうです。 

マルウエア感染の 7 割余 不正ソフトのインストールが原因か - NHKニュース 2021年11月https://www3.nhk.or.jp/news/html/20211108/k10013338171000.html
パソコンに感染してクレジットカード情報や、通販サイトのパスワードなどを盗み取るマルウエアについて、感染経路の 7 割余りが、不正なソフトウエアのインストールが原因とみられることが情報セキュリティー会社の調査で分かりました。
どのような経路で感染するのか、去年から猛威を振るっている 「レッドライン」 と呼ばれる情報窃取型のマルウエアについて、情報セキュリティ-会社が日本の感染例 920 件余りの情報を解析したところ、74% が不正なソフトをみずからインストールしたことが原因とみられることが分かりました。
具体的には、▽オンラインゲームなどにずるして勝つための不正ソフトが 41%、▽有料のソフトを無料で使えるようにする不正ソフトが 31% でした。
【動画 - 調査結果のスライド画面】
24% = 感染経路不明
(円グラフの 41% を指して) 半数近くが YouTube 経由
【動画 - 調査したアナリストさんのコメント】
「検索サイトで上位に出てきたからといって、それが必ずしも安全というわけではありませんので…」
■ 「チートツール」 をダウンロードしたらマルウェアだった
感染のキッカケになった不正ソフトについて NHK の記事では 「オンラインゲームなどにずるして勝つための~」 という説明的な表現になっていて苦笑いだけど、次のように 偽装 してマルウェアが配布されていたようです。
クラックツール、チートツール |
---|
オンラインゲームで有利になる、ゲームのコンテンツを改造する cheat, crack, hack, mod menu, skin changer, unlock, swapper, bot, aimbot, wallhack, spoofer |
海賊版ソフトウェア |
---|
購入しないと入手できない有償製品の無料ダウンロード free download, license key, keygen |
出どころも何もあったもんじゃありません! 

ダウンロードしてきた正体不明のプログラムは、実際にはマルウェアを掴ませる罠だったという悲劇で、Windows パソコン上で 実行ファイル をダブルクリックして起動した挙げ句の 自爆感染 になります。
○ Windows XP/Vista/7/8/10
× mac.OS
× Android
× iOS (iPhone / iPad)
「自業自得」 の一言で切り捨てられそうなお話だけど、日本でも感染例が普通にあって深刻な事態を招いているマルウェア 「RedLine Stealer」 の対応機能や感染経路について見てみましょう。
レッドライン 「RedLine Stealer」 ウイルスとは?
情報窃取型マルウェア 「RedLine Stealer」 (読み方 レッドライン・スティーラー) は、海外の闇サイトやフォーラムなどで販売されているサイバー犯罪者向けのソフトウェア製品です。 

「stealer」 の意味 Firefly
「steal」 (盗む) + 接尾辞 「-er」 (~する人、物)
「steal」 (盗む) + 接尾辞 「-er」 (~する人、物)
New Redline Password Stealer Malware - Proofpoint
2020 年 3 月初め、Proofpoint の調査員は、マルウェアの作者が RedLine Stealer と呼んでいる、これまでに知られていないマルウェアの配信を試みるEメールのキャンペーンを観測しました。この名称は、フォーラムでの広告、コードのコメント、コマンド&コントロール (C&C) の画面で確認できます。
パスワード搾取ウイルス RedLine は、ロシアのアンダーグラウンド フォーラムで販売されている新しいマルウェアです。オプションとして 150 ドルの Lite 版、200 ドルの Pro 版、100 ドル/月のサブスクリプションが用意されています。
このウイルスは、ログイン、オート コンプリート、パスワード、クレジットカードなどの情報をブラウザから盗みます。また、ユーザー名、地理的位置、ハードウェア構成、インストールされているセキュリティソフトなど、ユーザーとそのシステムに関連する情報を収集します。RedLine Stealer の最近のアップデートでは、暗号資産のコールド・ウォレットを盗む機能が追加されました。
セキュリティ会社が名付けたものではなく、ロシア語が母語と思われる開発者グループ自ら そう名乗っています。

Telegram に作られた 「RedLine Stealer」 サポートチャンネル
MaaS (Malware as a Service)
SaaS をモチーフにした 「サービスとしてのマルウェア」。サイバー攻撃を実行するためのソフトウェアやハードウェアをサービスとして貸し出すシステム体系のこと。
MaaS の所有者は、マルウェアを使用する権利やマルウェアを配布するボットネットにアクセスする権利を有償で提供する。サービスの利用者には、攻撃を制御するための個人アカウントや技術サポートが提供される。
つまり、サービス提供者に利用料金を支払えば、特別なプログラミングの知識がなくても高機能なマルウェアを好き勝手に使う権利を手にできる仕組みです。
こうなると、攻撃者たちが地球上の Windows ユーザーを片っ端から狙ってマルウェア 「RedLine Stealer」 を投入してくる展開になり、ウイルス感染経路は 1 つとは限らなくなり、さまざまな形でマルウェアが流布されることになります。
「RedLine Stealer」 世界の検出状況 2021年11月
(McAfee MVISION Insights)
(McAfee MVISION Insights)
■ ネットサーフィン中にウイルス強制感染も
セキュリティ企業によると、2020 年 3 月に初めて観測されたマルウェア 「RedLine Stealer」 の攻撃の手口は、主に米国のユーザーを狙って新型コロナウイルス感染症をテーマにした不正なEメールの配信でした。 

そして、ネットサーフィン中の Windows ユーザーを狙って 「RedLine Stealer」 の実行ファイルを問答無用で強制的に起動する攻撃が 2022 年に確認されています。
RedLine Stealer Resurfaces in Fresh RIG Exploit Kit Campaign - BitDefender
https://www.bitdefender.com/blog/labs/redline-stealer-resurfaces-in-fresh-rig-exploit-kit-campaign/
今年 2022 年の初め、私たちは CVE-2021-26411 のエクスプロイトを使って悪意のあるペイロードを配信する RIG Exploit Kit のキャンペーンに気づきました。このペイロードの 1 つが、2022 年 1 月 3 日 に Bitdefender Labs が捕捉したトロイの木馬 RedLine Stealer でした。
Redline Stealer Exploits CVE-2022-1096 in Chromium Browsers to Target Millions of Users - CloudSEK
https://cloudsek.com/threatintelligence/redline-stealer-exploits-cve-2022-1096-in-chromium-browsers-to-target-millions-of-users/
ネットサーフィンで不可欠なブラウザの脆弱性を悪用する手口で、知らないうちにマルウェアに感染してしまう展開です。
- ブラウザ Internet Explorer、旧 Microsoft Edge の脆弱性
- 旧ブラウザ プラグインの脆弱性
└ 過去に Adobe Flash Player、Microsoft Silverlight、Oracle Java
複数の脆弱性が解決されずに放置されている Windows XP や Windows 7 でもない限り、この攻撃がモロに影響する Windows ユーザーさんは限定的でしょう。



Windows 8.1、Windows 10、Windows 11 |
---|
Windows Update が滞りなく実施できているなら 100% 影響なし → マイクロソフトは 2021 年 3 月にセキュリティ更新プログラム配信済み |
ブラウザ Edge や Chrome が最新版なら 100% 影響なし → グーグルなどは 2022 年 3 月下旬に緊急アップデート配信済み |
盗める情報を奪うマルウェア 「RedLine Stealer」 の機能
この記事を書くにあたって 「RedLine Stealer」 のことを調べていると、海外のフォーラムでマルウェア 「RedLine Stealer」 の感染で盗み取った端末のデータ群を売りさばいている投稿を結構いろいろ見かけてゾッとしました。 

いったい 「RedLine Stealer」 に感染したらどうなるのか、対応している機能をいくつか挙げます。

- ウェブサイトの ユーザー名とパスワード
- フォームの自動入力 のデータ (個人情報、クレジットカード情報)
- Cookie … 2 段階認証を突破される危険性
【RedLine Stealer が窃取する Windows ブラウザ例】
Chromium
Google Chrome
Opera
Opera GX
CoolNovo
Iridium Browser
CentBrowser
Chedot BrowserVivaldiEpic Privacy BrowserSleipnir 5
Citrio Browser
Coowon Browser
Comodo Dragon
Torch Web Browser
Yandex Browser
Maxthon 3 Browser
Cốc Cốc
Brave
Microsoft Edge
CryptoTab Browser
【ブラウザのヘルプページ】
Google Chrome パスワードを管理する
https://support.google.com/chrome/answer/95606?hl=ja
Google Chrome フォームに自動入力する
https://support.google.com/chrome/answer/142893?hl=jaChrome で Cookie の削除、有効化、管理を行う
https://support.google.com/chrome/answer/95647?hl=ja
Microsoft Edge パスワードを保存または削除する
https://support.microsoft.com/ja-jp/microsoft-edge/b4beecb0-f2a8-1ca0-f26f-9ec247a3f336
Microsoft Edge 情報を自動的に入力する
https://support.microsoft.com/ja-jp/microsoft-edge/81da697c-9910-d9b8-d50a-1712d96f3db8Microsoft Edge で Cookie を削除する
https://support.microsoft.com/ja-jp/microsoft-edge/63947406-40ac-c3b8-57b9-2a946a29ae09

- Cookie … 2 段階認証を突破される危険性
【RedLine Stealer が窃取するブラウザ例】
Mozilla FirefoxWaterfox
K-Meleon
Mozilla Thunderbird
Comodo IceDragon
Cyberfox
BlackHawk Web Browser
Pale Moon
【ブラウザのヘルプページ】
Firefox に保存された Cookie とサイトデータを消去する
https://support.mozilla.org/ja/kb/clear-cookies-and-site-data-firefox

Steam (Valve Corporation) Firefly
└ Steam Guard の SSFN ファイル … 2 段階認証を突破される危険性
└ Steam Guard の SSFN ファイル … 2 段階認証を突破される危険性

Telegram
Discord
└ 認証トークン ldb ファイル … 2 段階認証を突破される危険性
└ 認証トークン ldb ファイル … 2 段階認証を突破される危険性

FileZilla Firefly

NordVPN Firefly
OpenVPN
ProtonVPN

└ wallet.dat ファイルなど

└ 暗号資産 (仮想通貨) のウォレットアプリ MetaMask など約 30 種
【RedLine Stealer が窃取する Chrome 拡張機能ウォレット】
Yoroi
TronLink
Nifty Wallet
MetaMask
Math Wallet
Coinbase Wallet
Binance Wallet
BraveWallet
Guarda
EQUAL Wallet
Jaxxx Liberty
BitApp Wallet
iWallet
Wombat
Oxygen Atomic Crypto Wallet
MEW CX
GuildWallet
Saturn Wallet
Ronin Wallet
Terra Station Wallet
Harmony Chrome Extension Wallet
Coin98 Wallet
EVER Wallet
KardiaChain Wallet
Phantom
Pali Wallet
BOLT X
Liquality Wallet
XDEFI Wallet
Nami
Maiar DeFi Wallet
Temple Tezos Wallet
---
Authenticator 2FA

└ Windows の デスクトップやドキュメントフォルダーに置いてあるテキストファイル、Word ファイル


■ 「RedLine Stealer」 感染で巻き起こる被害
こうして 「RedLine Stealer」 の感染をキッカケに 様々なウェブサービスのアカウントハック被害、保有する仮想通貨の盗難、さらに最悪 Windows パソコンが マルウェアの巣窟 へ一直線です。 

RedLine Stealer 機能 2 つ |
---|
① PC から様々な情報窃取を行うメイン機能 |
② 別のマルウェアを PC に感染させる仕組み |
Twitter や Instagram を乗っ取られた、YouTube チャンネルに勝手に動画を投稿された、Steam アカウントを乗っ取られてゲームをプレイされた購入された、Discord アカウントを乗っ取られてフレンド全員にスパムメッセージを送信した、…枚挙にいとまがありません。 

一方、マルウェア 「RedLine Stealer」 そのものには、Windows パソコンが稼働している最中に動作し続ける常駐プログラムのような仕組みがなく、ほんの数分で完了するであろう ① と ② の役割を無事に終えたら何もしません。
× キーボードの入力情報を盗む (キーロガー)
× パソコンの動作を監視したり遠隔操作をする (RAT)
× 他のパソコンへ自分自身の拡散を試みる (ワーム)
× パソコンの動作を監視したり遠隔操作をする (RAT)
× 他のパソコンへ自分自身の拡散を試みる (ワーム)
YouTube 経路で 「RedLine Stealer」 感染例
情報窃取型マルウェア 「RedLine Stealer」 (レッドライン・スティーラー) の厄介になるウイルス感染経路を画像付きで見てみます。
このウイルス感染経路は、Windows を保護するセキュリティの仕組みを迂回する施策が徹底されていて、無警戒なユーザーを吸い寄せる大きな橋渡しになっているのが動画配信プラットフォーム YouTube です。 

- マルウェア 「RedLine Stealer」 をダウンロードさせる最大規模の感染経路?
- 自作コンテンツを公開できる正規のオンラインサービスが悪用されている
→ 明らかに不正と判断されそうな URL (ドメイン) が登場しない - ダウンロードさせる配布ファイルが 「パスワード付き」 というトリック
【1】
普段から利用する検索エンジン (ドメイン名 「google.co.jp」 「search.yahoo.co.jp」 など) を使い、人気ゲームの 「crack」 (クラック) ネタをキーワードにググりました。 

いきなり検索結果の 1 ページ目に、もっともらしい YouTube のページがズラズラッとヒットします。
自社サービスの YouTube を検索結果の表示で優遇する仕組みが仇となっている。一方、検索に使うキーワードは ”チート” や ”クラック” に限らない。求めるユーザーとダウンロードの需要さえあれば何でもよく、ゲームに関連する有用なプログラム、ゲームの fps を向上して快適にプレイできるようにするソフトウェアを餌にゲーマーを陥れる。暗号資産 (仮想通貨) を運用するユーザーを狙うなら、稼げる 「マイニング」 「トレーディング」 のソフトウェアで興味をひきつける。
【2】
アクセスすると、本物の YouTube の視聴ページ (ドメイン名 「youtube.com」) です。
投稿されている 英語 の動画は、「性的なコンテンツ」 「暴力的なコンテンツ」 は含まれておらず、Windows のデスクトップやゲームの画面の様子を映している内容です。
映像を視聴する分には何も問題はないけれど、危険なのが映像の下にある 説明欄 に記載された 〔ダウンロード用〕 と称する URL で、このリンクをユーザーにポチッとクリックするよう誘います。
この手口を採用する攻撃者は、マルウェア感染を意図する英語の動画を乗っ取られた YouTube チャンネル に投稿し続けている。被害者の Windows パソコンから盗まれたブラウザの Cookie を悪用することで、2 段階認証を突破して Google アカウントに不正アクセス していると考えられる。動画の再生回数が数百~数万回に水増しされていたり、コメント欄が動画の内容を称賛するメッセージで溢れ返っていたり、攻撃者の計略で 「人気の動画」 に仕立て上げられていることも多い。本来は問題のない YouTube チャンネルが豹変してあふれ返り、YouTube 運営スタッフがチャンネルを凍結させる対応が後手に回る ”イタチごっこ” の様相になっている。
【3】
アクセスすると、海外企業が運営する オンライン・ストレージ を始めとするファイルの投稿&共有が可能なサービス (ドメイン名 「mediafire.com」 「mega.nz」 「drive.google.com」 「sendspace.com」 「github.com」 「cdn.discordapp.com」 など) に誘導されます。
こうして簡単にダウンロードできた ”チートツール” や ”クラック” のファイルがマルウェア 「RedLine Stealer」 でした。
圧縮アーカイブ内の実行ファイル 2 つが RedLine ウイルス
ダウンロードした配布ファイルの特徴 |
---|
パスワード付き の圧縮アーカイブ (拡張子 .zip .rar .7z) アーカイブ内の Windows 向け実行ファイル (拡張子 .exe) が地雷 mac.OS、Android スマホ、iOS (iPhone / iPad) は影響なし |
アーカイブ内に複数の無害なファイルやフォルダーを含ませてある場合あり よくあるアプリの配布パッケージっぽく見た目の偽装でユーザーを騙す |
実行ファイルのファイルサイズが 「数百メガバイト」 の場合あり ファイルが極端に大きすぎる弊害の発生 → セキュリティソフトのウイルス検出不全 → セキュリティ会社へファイルの送信困難 → VirusTotal へファイルのアップロード困難 |
■ パスワード付き圧縮アーカイブのトラップ
ダウンロードして入手した圧縮アーカイブの多くが パスワード付き なのがポイントです。
圧縮アーカイブの中身が何か分からない
【マルウェア感染攻撃を成功に導く急所】
ユーザーがダウンロード直後にセキュリティソフトでファイルをスキャンする
↓
セキュリティソフトはパスワード付きの圧縮アーカイブを 「無害」 と判定する
(理由 … 保護されている内部のファイルをスキャンできないため)↓結果を見たユーザーは問題のない安全なファイルを入手したと確信してしまう
同じように、オンライン・ストレージの運営元は圧縮アーカイブ内にマルウェアが含まれている事態を把握できず、利用規約で禁止されている マルウェアがオンライン・ストレージにアップロードされ放題 です。

■ 最後は実行ファイルを踏んで感染 THE END
いちおう、圧縮アーカイブを解凍 (展開) した後のタイミングで、セキュリティソフトが活躍できる初めてのチャンスが訪れます。
ただ、セキュリティソフトの対応が後手に回る現実に出会うと、マルウェア 「RedLine Stealer」 の実行ファイル (拡張子 .exe) をダブルクリックで踏み抜いて THE END でしょう。
【Reddit で 「RedLine Stealer」 感染者の悲鳴】
https://www.reddit.com/r/techsupport/comments/uvgyqu/
自分は大バカです。オンラインで何かをダウンロードしたら、トロイの木馬 RedLine Stealer に感染した。Windows のウイルス対策ソフトでブロックしていたけど、なかなか消えず、間違って許可してしまった。自分の Instagram にログインされて仮想通貨詐欺のリンクが投稿されて、YouTube アカウントも削除された。どうしたらいいのか分からない。セーフモードと通常のモードで Malwarebytes を実行したけど何も見つからなかった。
https://www.reddit.com/r/antivirus/comments/pd8rkh/
ここに投稿するのは初めてだけど、昨日 Battle.net と Activision のアカウントが乗っ取られて、今日復旧したところです。Malwarebytes が 「bluehack.exe」 を 「Spyware.Redline Stealer」 として発見できた。それを確実に削除したけど、Avast の無料版で一晩中スキャンを実行していて、まだ何も見つかっていない。他にどんな安全対策をすればいいか教えてくれる? 他にどんな情報を持っていかれたか分からないし、もう流出させたくない。
https://www.reddit.com/r/techsupport/comments/t4xp0s/
自分はバカで、感染した .exe をクリックしてしまった (そう、前に VirusTotal で確認したけど安全そうだった)。Windows Defender が開いて、一瞬だけ 「RedLine Stealer」 と表示された後に隔離に移動された。.rar と展開されたファイルを削除して、隔離されたファイルを削除した。その直後、自分の Discord アカウントが乗っ取られて、自分のプロフィールでグループ/フレンドの全員にフィッシングのリンクが送信された。その後、感染した PC をインターネットから完全に遮断して、パスワードをぜんぶ変更して、送信されたリンクをぜんぶ削除した。
Windows、インターネット ブラウザ、セキュリティソフトが警告や確認を促したところで、探し物を見つけ出した自分に酔っていて気分が高揚していたり、セキュリティ意識が麻痺した Windows ユーザーさんは無視して突っ走ります。 

マルウェア 「RedLine Stealer」 の危険ポイント

→ ほんの数日前~数時間前に準備された新鮮なマルウェアを掴まされかねない

→ セキュリティソフトの過信は禁物、脅威を警告するチャンスが明確に潰されている

→ 深刻な状況に拍車をかける YouTube チャンネルの乗っ取り で玉石混交
[YouTube 視聴 ウイルス感染] [YouTube 危険 動画] [YouTube 広告 間違えてクリック ウイルス] [ユーチューブ ウイルスが検出されました] [YouTube 見ただけでウイルス] [YouTube ウイルスが見つかりました] [YouTube セキュリティ警告] [YouTuber 乗っ取り 被害] [YouTube 乗っ取り 確認方法] [RedLine Stealer 感染したら] [RedLine Stealer とは] [RedLine Stealer 特徴] [マイクラ チートツール] [原神 チートツール] [チートツール ダウンロード] [チートツール Apex] [チートツール PC] [チートツール フォートナイト] …
関連するブログ記事
・ パスワード保存の無効化 Chrome Edge Firefox・ YouTube 乗っ取り確認方法 2段階認証の突破
コメント