あなたのYoutubeチャンネルで拡散するRedLine
RedLineは情報を抜き取るマルウェアです。
これまでも数多くのキャンペーンで悪用されてきました。
そのRedLineがまた新しい方法で拡散されていることが確認されています。
- 人気のゲームのYouTube動画
始まりはYouTubeの動画です。
人気のゲームの偽のチートやクラックについての動画です。
説明欄にはRARアーカイブがあります。
動画を見てチートしたくなった人はRARをダウンロードします。 - RARは詰め合わせ
RARのなかにはいくつものマルウェアが入っています。
そしてアーカイブを展開した際に自動的に実行されるようになっています。 - 中身の例1
RedLineが入っています。
情報を抜き取って盗み出します。
被害者のWebブラウザーに保存されているCookie、アカウントパスワード、クレジットカードなどの情報を盗み、インスタントメッセンジャーの会話にアクセスし、暗号通貨ウォレットを侵害する可能性があります。 - 中身の例2
拡散用キットが入っています。
動画をダウンロードして、盗んだアカウント情報のYouTubeチャンネルにアップロードする動きをします。 - 中身の例3
マイナーが入っています。
侵害した環境で暗号資産をマイニングします。
グラフィックカードの機能を使って高効率でマイニングします。
ゲームのチートに興味があるような人のパソコンには高性能なグラフィックカードが搭載されている可能性が高いということでしょうか。
うまいこと考えた感じがします。 - 中身の例4
隠蔽用ツールが入っています。
いろいろなマルウェアを侵害した環境で動作させるのですが、何かを普通に動作させるとタスクバーにその起動したものが表示されたりします。
そうすると被害者が侵害されていることに気が付きやすくなります。
これを防ぐため、この詰め合わせには、隠蔽ができるツールが含まれています。
Nirsoft NirCmdユーティリティが動作することによって、起動されるマルウェアの存在をインターフェースやタスクバーで確認することができなくなります。
被害者は多くのマルウェアが活動を開始していることに気が付くことが困難になります。 - 中身の例5
Discordを使った通知ツールが入っています。
新しく拡散用動画のアップロードが成功したことを攻撃者に通知します。
これまでも似たキャンペーンがありました。
今回確認されているキャンペーンには隠蔽用ツールが含まれていますので、以前のものよりも感染力が強いと思われます。
いつのまにか自分がマルウェアの拡散者になっていた、という感じです。
恐ろしいです。
でも、違法ソフトウェアに手を出さなければいいだけかもしれません。
参考記事(外部リンク):Self-spreading stealer attacks gamers via YouTube
securelist.com/self-spreading-stealer-attacks-gamers-via-youtube/107407/
