ミステリーボックスとおもったらRedLineStealer

ほぼこもセキュリティニュース By Terilogy Worx

ミステリーボックスというものがあります。
中に秘密の贈り物が入っている小さな箱で、通常はコレクション用のフィギュアが入っているようなものです。
似たものはいろいろと出回っていますが、そのなかにBinanceNFTミステリーボックスというものがあります。
ドキドキを手に入れるものというように見ることもできますし、開けてしまうことなく転売するなどして利益を得ることもできます。

そんなBinanceNFTミステリーボックスなのですが、それを餌としたキャンペーンが確認されています。
こんな感じです。

  • BinanceNFTミステリーボックスに関連する動画を見る
    BinanceNFTミステリーボックスに関連する動画をYouTubeで発見します。
    ここではBinanceNFTミステリーボックスに関する話を見ることができます。

     

  • 動画にリンクがある
    動画にはBinanceNFTミステリーボックスを自動購入できるボットへのリンクがあります。
    リンクの示す先のファイル名はいかにもBinanceNFTミステリーボックス自動購入ボットです。
    しかしそのファイルはその仕事はしません。
    中身はRedLineStealerです。
    ご丁寧にRedLineStealerの動作に必要なMicrosoft Visual C ++のライブラリまで一緒に配布してくれます。
    これで環境に左右されずに動作します。うれしくないですが。

     

  • 地域判別機構
    いくつかの国や地域においてはこのマルウェアは動作しないというようになる機構を搭載しています。

     

  • 動画に含まれているリンクの配置場所はGitHub
    今回確認されているRedLineStealerの入ったzipのほかに、いくつもの類似のzipファイルがそのGitHubアカウントにて公開されていることも確認されています。

     

  • デジタル署名されたRedLineStealer
    配布されているRedLineStealerのいくつかについては、デジタル署名がされています。
    被害にあいそうな状況の際にアンチウイルスでの検出を回避できてしまうかもしれません。

     

  • あとは普通のRedLineStealer
    動作を開始してしまえばそれは普通にマルウェアです。
    Webブラウザー、FTPクライアント、電子メールアプリ、インスタントメッセージングクライアント、およびVPNからログイン資格情報を盗み出します。

モノが自動購入ボットという性質上、入手後に多少変な動作に見えることが起こっても利用者は気にしにくいというような狙いもあるのでしょうか。

ミステリーボックスを手に入れようと思ったら、意図と違ったミステリーを入手してしまっていたというお話でした。
気をつけないといけないですね。

参考記事(外部リンク):Password stealer now spreading from a GitHub link that uses
NFT content as bait

therecord.media/redline-stealer-youtube-github-fake-bot-binance-nft-mystery-boxes/