無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

タグ:RedLineStealer

<原因>YouTube乗っ取り被害で勝手に動画の投稿マルウェア感染の背景

YouTubeに投稿されたゲームのチート使用方法の危険動画からダウンロード誘われるRedLine Stealerウイルス。感染でアカウント情報やクレジットカード番号を盗まれ、仮想通貨ウォレット盗難の被害からYouTubeチャンネル乗っ取りサイクルの真相。

この記事はセキュリティ会社カスペルスキーによる 「Where did that game cheats video on your YouTube channel come from?」 (あなたの YouTube チャンネルに投稿されたゲームのチート動画はどこからやって来た?」 (2022年) を日本語に翻訳した抄訳です。

YouTube にゲームのチート動画を勝手に投稿された!?

全世界で 32 億人もの顧客を抱えるビデオゲーム市場には、世界中のあらゆるビジネスが集結してきます。

ゲーマーのために特別に作られた各種コンピューター端末はすでに当たり前ですが、その枠を越えたのはだいぶ前のことです。最近でも、ゲーミング家具やゲーミングドリンクといったゲーム用と名の付くものがあります。

サイバー犯罪者が黙っていないのも不思議ではありません。

ゲーマーは趣味に没頭して熱中する人たちなので、うまく設計されたソーシャル・エンジニアリングに弱いです。Google Play に存在しないゲームの Android 版や ゲームを無料でプレイできるチャンスを約束 するだけでも十分です。

言わずもがな、ゲームの世界には海賊版やチート、乗っ取られたアカウントを販売する闇のフォーラムが存在し、攻撃者が活動する広大なキャンバスが存在します。

ゲーマーを狩る解禁期間が改めて宣言されました。

サイバー犯罪者は、ゲームのチートを装ってトロイの木馬 RedLine Stealer を配布 し、アカウント情報やクレジットカード番号、仮想通貨ウォレットといった手の届く範囲のあらゆるものを盗もうとします。


YouTube で視聴する: チートを装うトロイの木馬

カスペルスキーの最新の発見物についての詳細は、Securelist ブログの投稿に記載してありますが、基本的に次のように機能します。

攻撃者は Rust、FIFA 22、DayZ、その他の何十種の 人気のオンラインゲームでチートツールを使う方法に関する動画を YouTube に投稿 します。

チートツールやクラック無料ダウンロードで釣る危険な YouTube 動画

その動画はかなり説得力があり、チート行為に慣れているゲーマーがよくする行動、特に動画の説明のリンクをたどって自己解凍型の圧縮ファイルをダウンロードして起動するよう促します。

ダウンロードに失敗した場合、Microsoft Edge のユーザーをフィッシングサイトや悪意のあるサイトから保護するフィルター Microsoft Defender SmartScreen を無効にするよう、動画の製作者は親切に提案してきます。

Windows によってPCが保護されました Microsoft Defender SmartScreen は認識されないアプリの起動を停止しました。このアプリを実行すると、PC が危険にさらされる可能性があります。

しかしながら、ユーザーのコンピューターにマルウェア一式がすぐにインストールされてしまうことには何らかの理由で不親切にも触れていません。


さらに、RedLine Stealer は感染したマシンに別のプログラムをダウンロードしてインストールするのはもちろんのこと、コンピューター上でコマンドを実行できるようになります。

つまり、自分自身で何か悪意のあるタスクを管理できないならば、仲間を呼ぶことができるのです。

次に、RedLine Stealer は、被害者のコンピューター上で展開する仮想通貨のマイニングプログラムをもたらします。

ゲーミング PC には仮想通貨をマイニングするのに非常に有効で強力な GPU をたいてい搭載しているので、この点でもサイバー犯罪者にとって合理的なターゲットです。


チートの使用で支払う代償

本物のチートツールならば、プレイヤーはゲームの管理者からアカウントを BAN されますが、偽のチートツールをダウンロードしてインストールしたユーザーは、いっそう深刻な問題に直面します。

まず、チートツールを装ってインストールされた RedLine Stealer はコンピューター上で特に価値のあるすべてを盗もうとします。


次に、RedLine Stealer と一緒にバンドルされている仮想通貨のマイニングプログラムは次のような特別な効果を加えます。

  • コンピューターの速度低下

  • GPU の消耗

  • 電気代が高くなる

さらに、RedLine Stealer にはもう一つの興味深い行為を行います。

ユーザーが持っている評判の代償を払うリスクです。

コマンド&コントロールのサーバから動画をダウンロードして、被害者の YouTube チャンネルに動画を投稿します

自己解凍型の圧縮ファイルをダウンロードして起動するように、という同じ説明が付いたチートツールに関する同じ動画です。

引き続いて、次の犠牲者が出現するサイクルを繰り返します。

こうして、トロイの木馬は自発的に拡散し、その過程でさらに多くの意図しない支援者を獲得していきます。



関連するブログ記事






YouTube 経由で RedLine Stealer 感染する経路

このエントリーをはてなブックマークに追加

初回投稿 2021年11月13日

<危険>マルウェア感染チートツール・クラックが原因72% YouTube経由でRedLine Stealer配布の脅威

Windowsウイルス「RedLine Stealer」とは。ゲームのチートツールや有償製品クラックのダウンロード原因7割。アカウント乗っ取りハック被害、YouTube経由の感染経路で危険動画を紹介。

「レッドライン」 のウイルス感染経路?


チートツールやクラックが原因でウイルス感染7割

日本のセキュリティ企業が 「RedLine Stealer」 として知られるマルウェア (コンピュータウイルス) に感染し、外部に流出した日本国内の Windows パソコン 928 台分のデータを分析しました。

その結果、マルウェア 「RedLine Stealer」 に感染した原因の 72% (約7割) がユーザー自ら 不正ソフトをインストール したことがキッカケだったそうです。

パソコンに感染マルウェア 7割余が不正ソフトからか 自ら不正ソフトを使いマルウェアに感染する実態 オンラインゲームのチート・クラックツール41% 有償ソフトのクラックツール海賊版31%
コンピュータウイルスの感染経路は? (NHKニュースより)

マルウエア感染の 7 割余 不正ソフトのインストールが原因か - NHKニュース 2021年11月
https://www3.nhk.or.jp/news/html/20211108/k10013338171000.html

パソコンに感染してクレジットカード情報や、通販サイトのパスワードなどを盗み取るマルウエアについて、感染経路の 7 割余りが、不正なソフトウエアのインストールが原因とみられることが情報セキュリティー会社の調査で分かりました。

職場や自宅のパソコンに感染してクレジットカード情報や、通販や SNS のパスワードなどを盗み取るマルウエアは、ここ数年被害が拡大しています。

どのような経路で感染するのか、去年から猛威を振るっている 「レッドライン」 と呼ばれる情報窃取型のマルウエアについて、情報セキュリティ-会社が日本の感染例 920 件余りの情報を解析したところ、74% が不正なソフトをみずからインストールしたことが原因とみられることが分かりました。

具体的には、▽オンラインゲームなどにずるして勝つための不正ソフトが 41%、▽有料のソフトを無料で使えるようにする不正ソフトが 31% でした。

Armoris (アルモリス) によると、具体的な調査結果はこんな感じになりますか。

凸版印刷のセキュリティ企業 Armoris による調査

感染原因 (調査結果のモニター画面)
41% オンラインゲームのチート・クラックツール
31% 有償ソフトウェアのクラック (海賊版)
24% 感染経路不明
(円グラフの 41% を指して) 半数近くが YouTube 経由でウイルス感染

セキュリティアナリストさんのコメント
「検索サイトで上位に出てきたからといって、それが必ずしも安全というわけではありませんので…」


「チートツール」 「クラック」 ダウンロードしたら実際は…

まともではないと明確な不正ソフト 「41% オンラインゲームのチート・クラックツール」 + 「31% 有償ソフトウェアのクラック (海賊版)」 をダウンロードしてインストールする行為、これが約7割の感染原因になっています。

NHKニュースの記事では、不正ソフトを 「オンラインゲームなどにずるして勝つための」 と説明していて苦笑いですが、詐欺師が次のように 偽装 してマルウェア (コンピュータウイルス) が配布していることが分かっています。

不正ソフト偽装でウイルス配布
チートツールやクラックを装う
対戦型オンラインゲームで自分が強くなり有利になる
ゲームのパラメータやコンテンツを改造する
cheat, crack, hack, mod menu, skin changer,
unlock, swapper, bot, aimbot, wallhack, spoofer …
海賊版ソフトウェアを装う
購入の必要がある有償ソフトウェア製品を無料ダウンロード
free download, license key, serial key, keygen,
full version, adobe, microsoft …

当然ながら、この手の怪しいブツは、非公式のブツで出所も何もあったもんじゃなし!

ウイルス感染に至る真相は、ユーザーが自らの意思でダウンロードしたファイルが 危険な罠 だった悲劇であり、Windows パソコン上で未知のファイルをダブルクリックして開いた挙げ句の 自爆感染 でしょう。


それこそ、自業自得の一言で切り捨てられそうなお話です。

しかし、日本でも感染例が複数あり、結果として深刻な乗っ取り被害を招く 「RedLine Stealer」 の対応機能、まさかの ウイルス感染経路 YouTube について詳しく紹介します。

危険! 情報窃取型マルウェア 「RedLine Stealer」 ウイルスとは?

「RedLine Stealer」 (読み方 レッドライン・スティーラー) は、海外の闇サイトやフォーラムなどで販売されているサイバー犯罪者向けのソフトウェア製品です。

情報窃取型マルウェア RedLine Stealer

セキュリティ会社が付けた呼称ではなく、ロシア語 を母語とする開発者グループ自らがそう名乗っています。

2020年2月に海外のフォーラムに投稿されたRedLine Stealerを宣伝するロシア語の投稿
「RedLine Stealer」 を宣伝する初期の投稿 (2020年2月)

stealer とは?
「steal」 (盗む) と接尾辞 「-er」 (~する人、物) に由来し、「infostealer」 (インフォスティーラー) とも呼ばれるセキュリティの脅威。ソフトウェアに保存されているユーザー名とパスワード、クレジットカード情報、その他の個人データといった機密情報を被害者の端末から密かに収集するよう設計されたマルウェアの一種。

そして、このソフトウェア製品は MaaS という仕組みで提供されているそうです。

これはサービス提供者に料金を支払うことで特別な知識がなくても高機能なマルウェア (コンピュータウイルス) を好き勝手に使う権利を手にできる仕組みになります。

Steam、Discord、FileZillaアカウントハック被害 RedLine マルウェアのコミュニティ
Telegram 上にある 「RedLine Stealer」 公式チャンネル

MaaS (Malware as a Service) とは?
SaaS がモチーフで、「サービスとしてのマルウェア」 という意味。サイバー攻撃を実行するためのソフトウェアやハードウェアをサービスとして貸し出すシステム体系のこと。
MaaS の所有者は、マルウェアを使用する権利やマルウェアを配布するボットネットにアクセスする権利を有償で提供し、サービスの利用者に対してサイバー攻撃を制御するための個人アカウントや技術サポートが提供される。

こうなると、地球上の Windows ユーザーを片っ端から狙って、攻撃者たちが 「RedLine Stealer」 ウイルスを無差別に投入する展開になります。

Threat Profile: RedLine Infostealer United States/アメリカ Italy/イタリア Germany/ドイツ India/インド Peru/ペルー Belgium/ベルギー United Kingdom/イギリス Spain/スペイン Hong Kong/香港 Ireland/アイルランド Canada/カナダ Thailand/タイ United Arab Emirates/アラブ首長国連邦 Finland/フィンランド Indonesia/インドネシア Japan/日本 Mauritius/モーリシャス
「RedLine Stealer」 世界の検出状況 (2021年11月)
出典 McAfee MVISION Insights


ネットサーフィン中に RedLine Stealer 強制感染も

「RedLine Stealer」 のウイルス感染経路は 1 つと限らず、様々な形で流布されます。

米国のセキュリティ企業 Proofpoint (プルーフポイント) によると、2020年3月に初めて観測された 「RedLine Stealer」 ウイルスの感染手口は、時節な出来事だった新型コロナウイルス感染症 COVID-19 がテーマのEメールの配信でした。

添付ファイルではなく、Eメール本文中にファイルのダウンロードリンクを記載してダウンロードさせる形だったようです。

不正なEメール経由で感染!

New Redline Password Stealer Malware - Proofpoint
https://www.proofpoint.com/us/blog/threat-insight/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign

2020年3月初め、Proofpoint の調査員は、マルウェアの作者が RedLine Stealer と呼んでいて、これまでに知られていないマルウェアの配信を試みるEメールのキャンペーンを観測しました。この名称は、フォーラムでの広告、コードのコメント、コマンド&コントロール (C&C) の画面で確認できます。

パスワード搾取ウイルス RedLine Stealer は、ロシアのアンダーグラウンド フォーラムで販売されている新しいマルウェアです。オプションとして 150 ドルの Lite 版、200 ドルの Pro 版、100 ドル/月のサブスクリプションが用意されています。

このコンピュータウイルスは、ログイン、オート コンプリート (フォームの自動入力)、パスワード、クレジットカードなどの情報をブラウザから盗みます。また、ユーザー名、地理的位置、ハードウェア構成、インストールされているセキュリティソフトなど、ユーザーとそのシステムに関連する情報を収集します。RedLine Stealer の最近のアップデートでは、暗号資産のコールド・ウォレットを盗む機能が追加されました。

また、欧州ルーマニアのセキュリティ企業 BitDefender (ビットディフェンダー) によると、ネットサーフィン中の Windows ユーザーを狙って 「RedLine Stealer」 ウイルスの実行ファイルを強制的に起動させる攻撃が2022年以降に確認されています。

ネットサーフィン中に強制感染!

RedLine Stealer Resurfaces in Fresh RIG Exploit Kit Campaign - BitDefender
https://www.bitdefender.com/blog/labs/redline-stealer-resurfaces-in-fresh-rig-exploit-kit-campaign/

今年 2022 年の初め、私たちは CVE-2021-26411 のエクスプロイトを使って悪意のあるペイロードを配信する RIG Exploit Kit のキャンペーンに気づきました。このペイロードの 1 つが、2022 年 1 月 3 日 に Bitdefender Labs が捕捉したトロイの木馬 RedLine Stealer でした。

具体的に、インターネットの閲覧に欠かせないブラウザ関連の脆弱性 (ぜいじゃくせい) を悪用する手口です。

  • 強制的な感染のキッカケ
    ユーザーが目視で危険性に気づくことが困難な 「マルバタイジング」 攻撃
    → ネット上で普通に目にする 広告の配信サーバーから攻撃処理 を流す手口

  • 悪用された主な脆弱性
    「Internet Explorer」 「Microsoft Edge 従来版」 の脆弱性
    CVE-2021-26411 CVE-2020-0674 CVE-2019-0752 CVE-2018-8174 CVE-2016-0189
    「Adobe Flash Player」 の脆弱性
    CVE-2015-0313 CVE-2018-15982
    → いずれもサポート終了済み

時代錯誤なウイルス対策 「怪しいサイトやエッチなサイトにアクセスしない」 は通用しません。

ただ、ネットサーフィン中に 「RedLine Stealer」 に強制感染するリスクが高いのは、もはや危険レベルが振り切れている Windows XPWindows VistaWindows 7 になります。

Windows 10/11 有効なセキュリティ対策
Windows は最新版ですか?
今月分の Windows Update が適用できているなら 影響なし
→ マイクロソフトは2021年3月にセキュリティ更新プログラムを配信済み
ブラウザは最新版ですか?
導入されている Microsoft Edge、Google Chrome、Firefox
→ 最新版に更新して使用しているなら 影響なし

対応する機能で分かる 「RedLine Stealer」 ウイルスに感染したら…

この記事を書くため 「RedLine Stealer」 ウイルスについて調べていると、海外のフォーラムでは 「RedLine Stealer」 に感染して流出した大規模なデータの公開して、金額を付けて売りさばいている投稿を複数見かけてヒェッとなりました。

海外フォーラムでは RedLine Stealer ウイルスを使って盗んだ大量の流出データを販売する投稿
190 GB 分の流出データを 450 ドルで販売している例 (2021年11月)

いったい 「RedLine Stealer」 ウイルスに感染したらどうなるのか、対応している主な機能を紹介します。

RedLine Stealer 主要機能 2 つ
PC から多種多様な情報窃取を行い外部に送信
別のマルウェアを PC に追加して感染させる仕組み


Windows 用 Chromium 系ブラウザに保存させている認証情報を盗む

Google ChromeMicrosoft Edge

  • ウェブサイトの ユーザー名×パスワード
    → 保存しないようブラウザの設定でオフに変更できる

  • フォームの自動入力 のデータ
    (住所・氏名・電話番号といった個人情報、クレジットカード情報)
    → 保存しないようブラウザの設定でオフに変更できる

  • Cookie … ウェブサービスの 2 段階認証を突破して不正アクセス実現の恐れ

RedLine Stealer が情報窃取する Windows ブラウザ】
Chromium
Google Chrome
Opera
Opera GX
CoolNovo
Iridium Browser
CentBrowser
Vivaldi
Epic Privacy Browser
Sleipnir 5
Coowon Browser
Comodo Dragon
Torch Web Browser
Yandex Browser
Maxthon 3 Browser
Cốc Cốc
Brave
Microsoft Edge
【関連するブラウザのヘルプページ】
・ Google Chrome
https://support.google.com/chrome/answer/95606
https://support.google.com/chrome/answer/142893
https://support.google.com/chrome/answer/95647

・ Microsoft Edge
https://support.microsoft.com/microsoft-edge/b4beecb0-f2a8-1ca0-f26f-9ec247a3f336
https://support.microsoft.com/microsoft-edge/81da697c-9910-d9b8-d50a-1712d96f3db8
https://support.microsoft.com/microsoft-edge/63947406-40ac-c3b8-57b9-2a946a29ae09

Windows 用 Gecko 系ブラウザに保存させている認証情報を盗む

Mozilla Firefox

  • Cookie … ウェブサービスの 2 段階認証を突破して不正アクセス実現の恐れ

RedLine Stealer が情報窃取するブラウザ】
Mozilla Firefox
Waterfox
K-Meleon
Mozilla Thunderbird
Comodo IceDragon
Cyberfox
Pale Moon
【関連するブラウザのヘルプページ】
・ Mozilla Firefox
https://mzl.la/3vVeO8Y

ゲーム クライアント 1 種のアカウント情報を盗む 〔Steam アカウント乗っ取り〕

Valve Steam

  • Steam (Valve Corporation) Firefly
    └ Steam Guard SSFN ファイル … 2 段階認証を突破して Steam アカウントに不正アクセス実現の恐れ

コミュニケーション ツール 2 種のアカウント情報を盗む 〔アカウント乗っ取り、フレンド宛てにスパムメッセージ送信〕

TelegramDiscord

  • Telegram

  • Discord
    └ 認証トークン .ldb ファイル … 2 段階認証を突破して Discord アカウントに不正アクセス実現の恐れ

FTP ソフト 1 種に保存されている Web サーバのアカウント情報を盗む

FileZilla


VPN ソフト 3 種に保存されている VPN サーバの認証情報を盗む 〔テレワークで活躍、組織の VPN への不正アクセスの恐れ〕

NordVPNOpenVPNProton VPN

  • NordVPN Firefly

  • OpenVPN

  • Proton VPN

暗号資産 (仮想通貨) を保管するウォレットを盗む
└ wallet.dat ファイルなど

【RedLine Stealer が窃取するデスクトップ ウォレット例】
Armory
Atomic Wallet
Coinomi
Electrum Bitcoin Wallet
Ethereum
Exodus Wallet
Guarda
Jaxx

Chrome ブラウザ拡張機能に保存されているウォレットを盗む
└ ユーザー数が多い ウォレットアプリ MetaMask ほか約 30 種

RedLine Stealer が窃取する Chrome 拡張機能ウォレット】
Yoroi
TronLink
Nifty Wallet
MetaMask
Math Wallet
Coinbase Wallet
Binance Wallet
BraveWallet
Guarda
EQUAL Wallet
Jaxxx Liberty
BitApp Wallet
iWallet
Wombat
Oxygen Atomic Crypto Wallet
MEW CX
GuildWallet
Saturn Wallet
Ronin Wallet
Terra Station Wallet
Harmony Chrome Extension Wallet
Coin98 Wallet
EVER Wallet
KardiaChain Wallet
Phantom
Pali Wallet
BOLT X
Liquality Wallet
XDEFI Wallet
Nami
Maiar DeFi Wallet
Temple Tezos Wallet
---
Authenticator 2FA

└ テキストファイル (拡張子 .txt)、Word 文書ファイル (拡張子 .doc .docx)
└ ファイル名に 「key」 「wallet」 「seed」 といった文字列が含まれるファイル

  • 探索対象 1 「デスクトップ フォルダー」
    C:\Users\[ユーザー名]\Desktop\ ~

  • 探索対象 2 「ドキュメント フォルダー」
    C:\Users\[ユーザー名]\Documents\ ~

「RedLine Stealer」 感染の直後にデスクトップの様子を写したスクリーンショット画像 1 枚を保存する

感染した Windows パソコンの一般的なシステム情報を収集する

【統計的に収集されるシステム情報】
IP アドレス 〔https://api.ip.sb/ip〕
IP アドレスから推測された地理的位置 (国名・地域名)
Windows のユーザー名
パソコンのデバイス ID
Windows の表示言語
タイムゾーン
ディスプレイの解像度
Windows OS のエディション
CPU プロセッサ名
GPU プロセッサ名
実装 RAM の容量
動作するウイルス対策ソフトウェアの種類
インストールされているブラウザ一覧
インストールされているソフトウェア一覧

外部ネットワークに接続し、任意の実行ファイルをダウンロードしてきて起動する


「RedLine Stealer」 感染で乗っ取り被害

「RedLine Stealer」 ウイルスの感染をキッカケに 2 段階認証を突破されて様々なウェブサービスのアカウントで乗っ取り被害の発生保有する仮想通貨の盗難、最悪 Windows パソコンが マルウェアの巣窟 へと一直線です。

  1. Twitter や Instagram アカウントを乗っ取される
    (怪しい仮想通貨詐欺のスパムメッセージが勝手にツイートされる)

  2. YouTube チャンネルが乗っ取られて怪しい動画を勝手に投稿される

  3. 保有する仮想通貨が見知らぬアドレスに勝手に送金されて盗まれる

  4. Steam アカウントを乗っ取られて、ゲームをプレイされた勝手に購入される

  5. Discord アカウントを乗っ取られて、運営するサーバーの管理権限を奪取される
    詐欺のスパムメッセージがフレンド全員に宛てて勝手に送信される

  6. テレワークで使っていた組織の VPN サーバーに侵入される
    企業情報の漏洩やファイル暗号化ランサムウェア攻撃のキッカケになる

…枚挙にいとまがありません。

YouTube 経路で 「RedLine Stealer」 ウイルス感染例

ウイルス感染経路が 「ウイルスメールで感染」 や 「ネットサーフィン中に強制感染」 ではなく、「RedLine Stealer」 のご厄介になる超身近なウイルス感染経路を画像付きで見てみます。

YouTube 動画でウイルス感染!?

無警戒な日本国内のユーザーを吸い寄せる ”橋渡し” になっているのが、動画配信プラットフォーム YouTube です。

  • 最新の Windows 10/11 も含む全 Windows ユーザーが影響を受ける

  • 「RedLine Stealer」 をダウンロードさせて自爆感染させる最大規模の経路か
    → 「YouTube の動画だから危険性は低くて安全」 という誤解

  • 自作コンテンツを公開できる複数のオンラインサービスが悪用されている
    → 不正と判断されうる URL (ドメイン) が登場しないためアクセス阻止が困難

【1】

普段から利用する検索エンジン (ドメイン名 「google.co.jp」 「search.yahoo.co.jp」 など) を使い、人気のゲームの 「crack」 (クラック) を探すキーワードでググりました。

まずスルーすることのない検索結果の 1 ページ目にもっともらしい YouTube の動画が多数ヒットします。

箱庭ゲーム「マイクラ」のクラックやチートでGoogle検索するとRedLineウイルスのダウンロードへ導くYouTube動画が表示される
Google 検索の上位に危険な動画が普通に並ぶ

【YouTube 動画が優遇されて裏目に】
検索結果の表示で自社サービス YouTube の動画を優遇する仕組みが悪用されている。
一方、検索語句は 「チート」 や 「クラック」 に限らない。探し求めるユーザーとダウンロードの需要さえあれば何でもよく、fps を向上してゲームを快適にプレイできるようにするプログラムを餌にゲーマーを陥れる。暗号資産を運用するユーザーを狙うなら、稼げる 「マイニング」 「トレーディング」 用のソフトウェアで興味をひきつける。


【2】

アクセスすると、正真正銘本物の YouTube の動画視聴ページ (ドメイン名 「youtube.com」) です。

投稿されている動画は、「性的なコンテンツ」 や 「暴力的なコンテンツ」 は含まれておらず、Windows のデスクトップやゲーム画面の様子を映して、「チートツール」 や 「クラック」 を使い方を英語で指南する内容が多いです。

動画を単に視聴する分には何も問題は怒らないものの、危険なのが映像の下にある 説明欄 に記載されたファイルの 〔ダウンロード用〕 と称する URL リンクです。

YouTube映像の説明欄にクラックやMOD名目でRedLineウイルスのダウンロードURLが提示される
水増し操作で再生回数 5,000 超えの人気動画に仕立てられている

【乗っ取られた YouTube チャンネルに危険な動画】
この攻撃を仕掛ける詐欺師は、乗っ取られた YouTube チャンネル に 「RedLine Stealer」 の感染を意図する危険な動画を投稿している。被害者の Windows パソコンから盗まれたブラウザの Cookie を悪用して 2 段階認証を突破して Google アカウントに不正アクセス していると考えられる。
危険な動画の再生回数が数百~数千回に大きく水増しされていたり、コメント欄が動画の内容を称賛するメッセージで溢れ返っていたり、詐欺師の計略で信頼できる ”人気動画” に仕立て上げられていることも多い。


【3】

URL リンクをポチッとクリックすると、ファイルの投稿や共有が自由にできる海外の正当なオンライン・ストレージ (ドメイン名 「mediafire.com」 「mega.nz」 「drive.google.com」 「github.com」 「cdn.discordapp.com」 「dropbox.com」 など) に導かれます。

こうして、ネットをさまようこともなく、さほど苦労することなくダウンロードできた 「チートツール」 や 「クラック」 の正体が 「RedLine Stealer」 ウイルスでした。

パスワードで暗号化された圧縮ファイル.zip内にマイクラのクラックツール・パッチ装うRedLineマルウェア実行ファイル.exe
圧縮ファイル内の実行ファイル 2 つが 「RedLine Stealer」

パスワードで暗号化された圧縮ファイル.rar内にRedLineマルウェア実行ファイル.exe
暗号化パスワード付きの .rar 内にポツンとマルウェア

YouTube経由でダウンロードしたRedLine Stealerマルウェア
実行ファイル以外のファイルやフォルダーはぜんぶダミー

パスワード付きrar圧縮アーカイブ内にマルウェアRedLine Stealer
Discord 有料プランをタダで何とかしたいユーザー狙い撃ち

ダウンロードした配布ファイルの特徴
パスワード付き 圧縮ファイル (拡張子 .zip .rar .7z
アーカイブ内の実行ファイル (拡張子 .exe) が危険
動作環境 Windows XP/Vista/7/8/10/11
※ mac.OS、Android スマホ、iOS (iPhone / iPad) は影響なし
圧縮ファイル内に無害なファイルやフォルダーを含ませてある場合あり
→ アプリの配布パッケージっぽく雰囲気までも偽装してユーザーをだます
実行ファイルのサイズが異常に大きい 「数百メガバイト」
→ ウイルス対策ソフトが検出不全に陥りやすい
→ セキュリティ会社や VirusTotal に巨大なファイルの送信が困難
→ ユーザー数が多いであろう Microsoft Defender クラウド保護 を突破


パスワード付き圧縮ファイルの危険トラップ

ダウンロードして入手した圧縮ファイルの多くが パスワード付き なのも感染成功率を引き上げるポイントになっています。

圧縮ファイルの中身が認識できない

【ウイルス感染攻撃を成功裏に導く急所】
ユーザーがダウンロードした直後にセキュリティソフトでファイルをスキャンする
 ↓
ウイルス対策ソフトはパスワード付きの圧縮ファイルを 「無害」 と判定する
(理由: ファイル内部が保護されていてウイルススキャン不可能)
 ↓
判定結果を見たユーザーは問題のない安全なファイルを入手したと確信する恐れ

同じ理由で、圧縮ファイル内に脅威が含まれている危険な状況をオンライン・ストレージの運営元は事前に把握できなくなっていて、利用規約で明確に禁止されているコンピュータウイルス (マルウェア) が様々なオンライン・ストレージにアップロードされ放題になっています。


最後は RedLine Stealer の実行ファイルを開いて感染

いちおう、圧縮ファイルを解凍 (展開) した後のタイミングで、セキュリティソフトが活躍できるチャンスが訪れます。

ただ、用意周到な 詐欺師に出し抜かれてウイルス対策ソフトの対応が後手に回っている現実 に出会うと、「RedLine Stealer」 ウイルスの実行ファイル (拡張子 .exe) を躊躇なくダブルクリックで踏み抜いて The End となります。

【Reddit 掲示板で乗っ取り被害者の悲鳴】

自分は大バカです。オンラインで何かをダウンロードしたら、トロイの木馬 RedLine Stealer に感染した。Windows の ウイルス対策ソフト でブロックしていたけど、なかなか消えずに間違って許可してしまった。
自分の Instagram にログインされて 仮想通貨詐欺 のリンクが投稿された。YouTube アカウント も削除された。どうしたらいいのか分からない。セーフモードと通常のモードで Malwarebytes を実行したけど何も見つからなかった。
https://www.reddit.com/r/techsupport/comments/uvgyqu/

ここに投稿するのは初めてだけど、昨日 Battle.net と Activision のアカウントが乗っ取られて、今日復旧したところです。Malwarebytes が 「bluehack.exe」 を 「Spyware.Redline Stealer」 として発見できた。それを確実に削除したけど、Avast の無料版で一晩中スキャンを実行していて、まだ何も見つかっていない。他にどんな安全対策をすればいいか教えてくれない? 他にどんな情報を盗まれたか分からないし、もう流出させたくない。
https://www.reddit.com/r/antivirus/comments/pd8rkh/

自分はバカで、感染した .exe をクリックしてしまった (そう、前に VirusTotal で確認したけど安全そうだった)。Windows Defender が開いて、一瞬だけ 「RedLine Stealer」 と表示された後に隔離に移動された。.rar と展開されたファイル を削除して、隔離されたファイルを削除した。
その直後、自分の Discord アカウントが乗っ取られて、自分の名義でグループ/フレンドの全員にフィッシング詐欺のリンクが送信された。その後、感染した PC をインターネットから完全に遮断して、パスワードをすべて変更して、送信されたリンクをすべて削除した。
https://www.reddit.com/r/techsupport/comments/t4xp0s/

仮にブラウザやセキュリティソフトが警告や確認を促しても、探し物の 「チートツール」 や 「クラック」 を発見した自分に酔って気分が高揚していたり、セキュリティ意識が麻痺したユーザーさんは立ち止ることなく突っ走る展開になりそうです。


RedLine Stealer ウイルスの危険ポイント


RedLine Stealer ウイルスなどマルウェア感染、乗っ取られたYouTube動画のサムネイル画像
乗っ取られた YouTube 動画のサムネイル画像例

強力な道具を持つ詐欺師たちが進行形で活動している
数日~数時間前に準備された新鮮な 「RedLine Stealer」 ウイルスを掴まされてもおかしくなく、Windows 標準のセキュリティソフト Microsoft Defender に脅威を検出させない体制で襲いかかる

脅威を警告する複数のチャンスが明確に潰されている
YouTube 経由でユーザーを巧妙に誘導させて、正当なオンライン・ストレージからパスワード付きの圧縮ファイルをダウンロードさせることで、誰からも妨害されずに 「RedLine Stealer」 ウイルスをユーザーの目の前まで確実に持っていく

実行ファイル (.exe) やスクリーンセーバー (.scr) を開かせる
人間の心理的なスキを突く戦法は俄然有効で、手にしたファイルを 「文書」 「画像」 「動画」 「プログラム」 などと思い込ませることに成功すると、疑うことを知らないユーザーは不正なファイルを躊躇なく開く


[YouTube 視聴 ウイルス感染] [YouTube 危険 動画] [ユーチューブ ウイルスが検出されました] [YouTube 見ただけでウイルス] [YouTube ウイルスが見つかりました] [YouTube セキュリティ警告] [RedLine Stealer とは] [RedLine Stealer 感染したら] [チートツール ダウンロード] [ウイルス感染経路 最新] [トロイの木馬 RedLine] [Redline Stealer Activity 2] [Trojan Redline Stealer] …

関連するブログ記事

このエントリーをはてなブックマークに追加

最終更新 2023年5月

<危険>偽ゲームで騙す詐欺DMウイルス感染2023ハッキング被害

ゲーム開発ベータ版テストプレイ依頼でパスワードや仮想通貨ウォレットぜんぶ盗まれる詐欺ハッキング乗っ取り被害。Twitter、Instagram、DiscordのDM危険。Windows/Macウイルス・マルウェアのダウンロード評判・評価・安全0。

その DM、危ないやり取りかも ――。

海外の凶悪な 詐欺師 (scammer) が暗躍する 詐欺 (scam、スキャム) にご注意ください。

Criminals Steal Cryptocurrency through Play-to-Earn Games - FBI Internet Crime Complaint Center
https://www.ic3.gov/Media/Y2023/PSA230309

〔広報〕 犯罪者たちは Play to Earn ゲームを手段に仮想通貨を盗み出す (FBI インターネット犯罪苦情センター)

米連邦捜査局 FBI は、犯罪者たちが数百万ドルの仮想通貨を盗むため、偽のゲームアプリを作成していることに警鐘を鳴らします。犯罪者は金銭的なインセンティブ報酬を提供する Play to Earn ゲームのアプリをプレイヤーに宣伝します。

犯罪者はオンラインで被害者に接触し、時間をかけて被害者との関係を築きます。その後、プレイヤーが農場で 「作物」 を育てるといった作業と引き換えに仮想通貨で報酬を稼げると偽り、オンラインゲームやスマホゲームを被害者に紹介します。

  1. ゲームのテストプレイ依頼 DM
  2. ダウンロードさせるウイルス詳細
  3. ウイルス感染で乗っ取り被害
  4. 偽ゲーム開発プロジェクト詐欺

危険! P2Eゲームや自作ゲームのテストプレイ依頼 DM

ゲームの開発に携わる関係者などを装った詐欺師TwitterInstagramDiscordダイレクトメッセージ (DM) を使って無警戒なターゲットにスッと近づき罠にはめるサイバー攻撃が 2020 年あたりから確認されています。

その攻撃の前触れは ――

  • まもなくリリース予定というゲームの開発に協力しないか提案される
    └ 遊んで稼ぐ P2E (Play to Earn) ゲームを PR していることも多い

  • インディーゲーム、自作ゲームの 「ベータ版」 のテストプレイを依頼される

ターゲットを信用させようと、安全ではない虚構の開発プロジェクトが総じて巧妙です。

詐欺師は実在するかのようデッチ上げた 偽ゲーム を用意周到に準備していて、ターゲットはそれに違和感を覚えません。

  • 別のゲームのコンテンツや画像を盗用した見栄えのよい公式ウェブサイトを作成する

  • 違和感のないプロフィールが書かれた開発者たちの SNS アカウントを作成する

偽ゲーム開発プロジェクト詐欺
詐欺師が接触する連絡手段
Twitter、Instagram、Discord の ダイレクトメッセージ (DM)
外部窓口としてユーザーが公開しているEメールアドレス
もっともらしい偽の求人例
ゲームを宣伝するメッセージを SNS に投稿する案件
ゲームのプレイレビュー動画を YouTube に投稿する案件
ゲーム内に登場するキャラクターのイラスト制作の仕事を依頼される
仮想通貨やドルで報酬を支払う 「うまい話」 をちらつかせる
顔の見えない詐欺師の身分
CEO、ファウンダー、プロダクト マネージャー、マーケティング マネージャー、
PR マネージャー、HR マネージャー、プロモーター、アドバイザー、
デベロッパー、クリエーター、インフルエンサー、NFT コレクター など
詐欺師が実在する人物のふりをして騙すこともある

そもそも詐欺師は善人を装い、自らを 「詐欺師」 と名乗ることはありません。

詐欺師が付け入るスキあり危険
複数のウォレットを管理して仮想通貨を運用する投資家
多くのオンラインゲームの認証情報を持つゲーマー
作品制作の仕事を請け負うクリエーター

「金銭欲」 や 「名誉欲」 を上手にくすぐる詐欺師の言葉に飲み込まれてしまうと危険です。

雰囲気だけで判断したゲーム開発プロジェクトの実態が単なるハリボテだったことに気づかず、パソコンから 認証情報仮想通貨 を根こそぎ盗まれるハッキング被害に巻き込まれます。


詐欺師が DM での 「やり取り」 を好む理由

詐欺師は攻撃を外から妨害されないよう警戒しています。

そこで、Eメール標準のフィッシング対策やウイルススキャン機能を意図的に避けるため、そういう仕組みが不完全な SNS の ダイクトメッセージ (DM) でやり取りを行います。

DM でうまい話は詐欺です! 100% 詐欺です!

  • ゲーム開発の関係者を装う詐欺師
    Twitter の DM で企業担当者が ――
    「こんにちは。私は P2E ゲームのマネージャーをしている○○です。特別なコラボレーションの依頼で、NFT プロジェクトのベータ版のテストプレイに興味はありませんか?」

  • 乗っ取られた Discord アカウントの悪用
      Discord の DM で知り合いのゲーマーが ――
    「自分が作っている最中のゲームをプレイしてみない? 数分でいいからバグを見つける作業を手伝ってほしい。」

  • NFT コレクターを装い作品を褒める
    Instagram の DM やコメントで NFT コレクターが ――
    「やあ。あなたの素晴らしいアート作品をぜひ購入したいので NFT 化して出品しないか? 作品の報酬はイーサリアム  ETH で支払いたい。」


【PR】 Amazon.co.jp | 通販 - ファッション、家電から食品まで【通常配送無料】

ダウンロードさせる危険なウイルスの実行ファイル詳細

詐欺師と ダイレクトメッセージ (DM) で複数回のプライベートなやり取りをしている中で ダウンロード するよう指示されたファイルが評判や評価がなく危険です。

必要に迫られて、ファイルをダウンロードする流れに自然と持っていかれます。

警戒心を削ぐファイルの名目
「ゲームのベータ版」 「契約書」
「企画書」 「資料」 「イラスト」

ダウンロードさせる危険ファイル (Windows)
ウイルスのファイル形式
圧縮ファイル (拡張子 .zip または .rar) ← パスワード付き
実行ファイル (拡張子 .exe
スクリーンセーバー (拡張子 .scr
ウイルスの動作環境
Windows XP/Vista/7/8/10/11
回避されうるセキュリティ保護
ブラウザのマルウェア警告機能
└ [Microsoft Edge] Microsoft Defender SmartScreen
└ [Chrome / Firefox / Safari] Google セーフ ブラウジング
Windows 標準のセキュリティソフト
Microsoft Defender ウイルス対策

パスワード付きの圧縮ファイルは、セキュリティソフトでウイルススキャンできないので 「無害」 と判定される
圧縮ファイルを展開 (解凍) するだけで、中身の不正なプログラムが勝手に起動することは起こり得ない


macOS もウイルス感染ターゲットに…

また、2023年3月あたりから Windows 以外に Mac ユーザーも攻撃のターゲットとして加った兆候があります。

P2E (Play to Earn) ゲームに偽装して mac.OS 向けのマルウェア (コンピュータウイルス) をダウンロードさせる手口です。

ダウンロードさせる危険ファイル (Mac)
ウイルスのファイル形式
インストーラパッケージ (拡張子 .pkg
Apple ディスクイメージ (拡張子 .dmg または .dmg.zip
ウイルスの動作環境
macOS

「ゲーム」 装うウイルス感染で深刻な乗っ取り被害

詐欺師とのやり取りをセキュリティ会社は知る術もなく セキュリティソフトの対応は後手に回る こともザラです。

  • 詐欺師はあらゆる理由を付けてファイルを開いて確認するよう誘う

  • 詐欺師は時間的な余裕を持ってターゲット 1 人のためだけの新鮮なファイルを用意できる

こうして、目の前に現れたファイルの真の正体が楽しいゲームではなく、危険な コンピュータウイルス (マルウェア) であると自力で見抜けなかったユーザーは、危険なファイルを ダブルクリック して開いて感染 The End です。

トロイの木馬ウイルス 「Try My Game Scam」 でダウンロードさせる不正な実行ファイル .exe 「Bby Stealer」 「RedLine Stealer」
「ゲームの実行ファイル」 に偽装したマルウェア実物


情報流出、そして乗っ取り被害。。。

コンピュータウイルス (マルウェア) は、パソコンの中にある価値あるデータを詐欺師の元へコッソリ送信するでしょう。

この時、ログイン資格情報 (パスワード)、クレジットカード情報、Cookie といったブラウザに保存されているデータ、Discord クライアントの認証で使われるトークンのデータ、仮想通貨を保管するウォレットのデータを盗みだす 情報窃取型マルウェア が採用されることが多いです。

🇷🇺 RedLine Stealer
🇪🇸 Bby Stealer
など

この流出をキッカケに不正アクセスや乗っ取り被害という悲劇の幕が上がり、自分が詐欺にあい、マルウェアを踏み抜いた事実に初めて気づくのは、実害が表面化して後の祭りのタイミングです。

ウイルス開いたら感染で被害例
ブラウザに保存されている認証情報を盗まれる
Microsoft Edge、Google Chrome
Mozilla Firefox
→ Google (YouTube)、Twitter、Instagram 乗っ取り
ソフトウェアに保存されている認証情報を盗まれる
Discord 乗っ取り
Steam 乗っ取り
Telegram
FileZilla
仮想通貨ウォレットのハッキングで資産が抜かれる
デスクトップ ウォレット
Chrome 拡張機能 MetaMask ウォレット など

乗っ取りウイルス危険! 偽ゲーム開発プロジェクトの例


偽ゲームの名称 (アルファベット順)
偽ゲームのウェブサイト URL
ダウンロードさせるファイル名
マルウェアの MD5 ハッシュ値


#scam #fraud #alert #scamalert #danger #legit #safe #malware #virus #trojan #infostealer #stealer #spyware #redlinestealer #bbystealer #raccoonstealer #macstealer #hashbreaker #macosstealer #atomicstealer #atos #asyncrat #lummastealer #project #download #phishing #hacking #hacker #nftscam #p2escam #fake #nft #eth #p2e #exe #scr #doc #pdf #docx #psd #jpg #mp4 #png #file #playtoearn #beta #alpha #crypto #nftcommunity #nftartist #web3 #web3gaming #nftgaming #discord #gamefi #account #wallet #security #whitepaper #cyber #attack #macos #windows #ゲーム #偽物 #詐欺 #対策 #詐欺師 #フィッシング #ハック #クラッキング #ハッキング #乗っ取り #手口 #スキャム #感染 #マルウェア #流出 #漏洩 #搾取 #窃取 #盗難 #不正 #ウイルス #トロイの木馬 #スパイウェア #被害 #ファイル #インストーラー #リンク #拡張子 #危険 #危険性 #安全 #ブロックチェーン #暗号資産 #仮想通貨 #メタマスク #ウォレット #パスワード #ツイッター #インスタグラム #ディスコード #ダイレクトメッセージ #スパム #シークレットリカバリーフレーズ #トラブル #テストプレイ #テスター #プロジェクト #ベータ #依頼 #資料 #契約書 #画像 #イラスト #トークン #稼げる

このエントリーをはてなブックマークに追加

↑このページのトップヘ