Discordトークン乗っ取り原因ウイルス「Bby Stealer」感染でハッキング!?

Node.js製マルウェア「Bby Stealer」ウイルス感染でDiscord認証トークン盗まれてアカウント乗っ取りハッキング被害。ダイレクトメッセージDMで自作ゲームのテストプレイ依頼から攻撃開始。

Windows 標準のセキュリティソフト Microsoft Defender を含む、主要なセキュリティソフトから検出をうなく回避されてしまう厄介で危険な脅威の紹介です。

Discrod 乗っ取りで暗躍するマルウェア 「Bby Stealer」

2022年1月に初めて報告された脅威で、Discord クライアントで本人の認証を行う Token を端末から窃取する不正なプログラム (Discord Token Stealer) の 1 つがコレ!

Bby Stealer
BbyStealer
(読み方 ベビー・スティーラー?)

この 「Bby Stealer」 は買い切りの販売価格 35 ドル で提供されているようです。

I and @JustIraj found the people behind it, it's a paid service sold for 35$ per lifetime license, also it seems to have a lot of sales, the vouchers are A LOT bruh, we are reporting everything we have
https://twitter.com/xkem0x/status/1480688507353980934

この不正なプログラムが Discord アカウントの乗っ取りで使われるサイバー攻撃として暗躍しています。

  • JavaScript の実行環境 Node.js の悪用
    Node.js 製アプリを実行ファイル .exe に変換する正規のユーティリティ Nexe の悪用

  • JavaScript で組まれたスクリプトを高度に難読化
    表面的なセキュリティソフトのファイルスキャンでは白黒の判別が不可能
    (脅威を検出できないセキュリティソフトが多発する)

The Recent "Try my game" Discord Scam: Explained
https://www.reddit.com/r/discordapp/comments/s1f1vs/the_recent_try_my_game_discord_scam_explained/

このコンピュータウイルスは 「Bby Stealer」 と呼ばれていて、Discord の情報を可能な限り取得し、Discord クライアントに感染して実行を継続するよう設計された RAT (遠隔操作を行うマルウェア) です。
この計略はユーザーに対してコンピュータウイルスを起動させることであり、Webhook 機能がEメール、パスワード、支払い方法、IP アドレス、バッジを含むユーザーに関連した情報のすべてを外部に送信します。これが RAT を成功へと導く鍵になっており、詐欺師は被害者の知り合いをターゲットにすることができます。

DM で 「ゲームをテストプレイしてみない?」 依頼から攻撃

詐欺師は Discord の ダイレクトメッセージ (DM) を介してターゲットとなるユーザーにスッと近づきます。

そして、もっともらしく 「開発中の自作ゲームでプログラム」 「まもなく公開予定のインディーゲームのインストーラー」 を装った実行ファイル (拡張子 .exe) をダウンロードして Windows パソコン上で起動するよう詐欺師は言葉巧みに誘導します。

その手口から海外では 「Try My Game Scam」 (直訳すると 「自作ゲームの試遊詐欺」) と呼ばれていて、巧妙な詐欺に騙されないよう注意喚起されているのでした。

「Bby Stealer」 ウイルス感染
マルウェアのファイル形式
Windows 実行ファイル (拡張子 .exe
スクリーンセーバー (拡張子 .scr
マルウェアの動作環境
Windows 7/8/10/11 64ビット
(32 ビット環境の Windows では動作しない)
マルウェアの攻撃手口例
開発中のゲームのテストプレイ依頼
ゲームに登場するキャラクターのイラスト制作依頼

  • Discord クライアントの認証情報を盗む
    (Eメールアドレス、本人確認するための認証トークン)

  • Google Chrome の認証情報を盗む
    Microsoft Edge の認証情報を盗む
    (ユーザー名×パスワード、フォームの自動入力、Cookie)

  • Mozilla Firefox の認証情報を盗む
    (Cookie)

  • デスクトップウォレットの情報を盗む
    Armory、Atomic Wallet、Bytecoin、Coinomi、Electrum、Ethereum、Guarda、Jaxx、Zcash

  • クリップボードにコピーされた文字列を監視して仮想通貨のアドレス値をコッソリ書き換える

  • 「スタートアップ」 フォルダーに自分自身の実行ファイルを配置して常駐する



関連するブログ記事