<原因>YouTube乗っ取り被害で勝手に動画の投稿マルウェア感染の背景
この記事はセキュリティ会社カスペルスキーによる 「Where did that game cheats video on your YouTube channel come from?」 (あなたの YouTube チャンネルに投稿されたゲームのチート動画はどこからやって来た?」 (2022年) を日本語に翻訳した抄訳です。
YouTube にゲームのチート動画を勝手に投稿された!?
全世界で 32 億人もの顧客を抱えるビデオゲーム市場には、世界中のあらゆるビジネスが集結してきます。
ゲーマーのために特別に作られた各種コンピューター端末はすでに当たり前ですが、その枠を越えたのはだいぶ前のことです。最近でも、ゲーミング家具やゲーミングドリンクといったゲーム用と名の付くものがあります。
サイバー犯罪者が黙っていないのも不思議ではありません。
ゲーマーは趣味に没頭して熱中する人たちなので、うまく設計されたソーシャル・エンジニアリングに弱いです。Google Play に存在しないゲームの Android 版や ゲームを無料でプレイできるチャンスを約束 するだけでも十分です。
言わずもがな、ゲームの世界には海賊版やチート、乗っ取られたアカウントを販売する闇のフォーラムが存在し、攻撃者が活動する広大なキャンバスが存在します。
ゲーマーを狩る解禁期間が改めて宣言されました。
サイバー犯罪者は、ゲームのチートを装ってトロイの木馬 RedLine Stealer を配布 し、アカウント情報やクレジットカード番号、仮想通貨ウォレットといった手の届く範囲のあらゆるものを盗もうとします。
■ YouTube で視聴する: チートを装うトロイの木馬
カスペルスキーの最新の発見物についての詳細は、Securelist ブログの投稿に記載してありますが、基本的に次のように機能します。
攻撃者は Rust、FIFA 22、DayZ、その他の何十種の 人気のオンラインゲームでチートツールを使う方法に関する動画を YouTube に投稿 します。
その動画はかなり説得力があり、チート行為に慣れているゲーマーがよくする行動、特に動画の説明のリンクをたどって自己解凍型の圧縮ファイルをダウンロードして起動するよう促します。
ダウンロードに失敗した場合、Microsoft Edge のユーザーをフィッシングサイトや悪意のあるサイトから保護するフィルター Microsoft Defender SmartScreen を無効にするよう、動画の製作者は親切に提案してきます。
しかしながら、ユーザーのコンピューターにマルウェア一式がすぐにインストールされてしまうことには何らかの理由で不親切にも触れていません。
まず、不運なチーターは トロイの木馬 RedLine Stealer を手に入れて、ブラウザに保存させているパスワードを手始めに、コンピューター上のほぼすべての大切な情報を盗まれます。
さらに、RedLine Stealer は感染したマシンに別のプログラムをダウンロードしてインストールするのはもちろんのこと、コンピューター上でコマンドを実行できるようになります。
つまり、自分自身で何か悪意のあるタスクを管理できないならば、仲間を呼ぶことができるのです。
次に、RedLine Stealer は、被害者のコンピューター上で展開する仮想通貨のマイニングプログラムをもたらします。
ゲーミング PC には仮想通貨をマイニングするのに非常に有効で強力な GPU をたいてい搭載しているので、この点でもサイバー犯罪者にとって合理的なターゲットです。
■ チートの使用で支払う代償
本物のチートツールならば、プレイヤーはゲームの管理者からアカウントを BAN されますが、偽のチートツールをダウンロードしてインストールしたユーザーは、いっそう深刻な問題に直面します。
本物のチートツールならば、プレイヤーはゲームの管理者からアカウントを BAN されますが、偽のチートツールをダウンロードしてインストールしたユーザーは、いっそう深刻な問題に直面します。
まず、チートツールを装ってインストールされた RedLine Stealer はコンピューター上で特に価値のあるすべてを盗もうとします。
- アカウントのパスワード
- クレジットカードの詳細
- パスワードなしでアカウントにログインするセッション Cookie
- 仮想通貨ウォレットの鍵
次に、RedLine Stealer と一緒にバンドルされている仮想通貨のマイニングプログラムは次のような特別な効果を加えます。
- コンピューターの速度低下
- GPU の消耗
- 電気代が高くなる
さらに、RedLine Stealer にはもう一つの興味深い行為を行います。
ユーザーが持っている評判の代償を払うリスクです。
コマンド&コントロールのサーバから動画をダウンロードして、被害者の YouTube チャンネルに動画を投稿します。
自己解凍型の圧縮ファイルをダウンロードして起動するように、という同じ説明が付いたチートツールに関する同じ動画です。
引き続いて、次の犠牲者が出現するサイクルを繰り返します。
こうして、トロイの木馬は自発的に拡散し、その過程でさらに多くの意図しない支援者を獲得していきます。
関連するブログ記事
→ YouTube 経由で RedLine Stealer 感染する経路