YouTubeでやってくるLumma

YouTubeでは、いろいろな動画を見ることができます。
エンターテイメントとなるものが多くありますし、いわゆるハウツー物、いろいろな物事を説明しているものも見ることができます。
書籍でまとまった情報を確認することで自分の知らないことを知るという手段がありますが、手軽さの面から考える場合、動画で情報を知ることは非常に有効です。
いろいろな企業が自社製品の便利な使い方を紹介しているという例も少なくありませんので、みなさんもこういった利用をされていることがあると思います。

便利な手法は、脅威アクターにとっても便利です。
いかにも通常のネタのハウツー動画であるという体裁をとりつつ、脅威アクターの意図する内容は別のものである、というパターンです。
この手の活動はこれまでも多く確認されていますが、最近の例として、Lummaというインフォスティーラー型マルウェアが配布される事例が確認されています。
この事例の動きを見てみましょう。

• クラックソフトウェアの入手に関する動画を公開する
  脅威アクターは、人気の有償ソフトウェアのクラック版を入手する方法について説明した動画を作成します。
  この表面上の内容そのものがすでに正しいものではありませんが、この種の内容は一定のカテゴリの人たちを強くひきつけます。

   

• クラックソフトウェアを入手したい人が動画を閲覧する
  それっぽいタイトルで動画を公開しておけば、それを見る人がでてきます。

   

• 動画の説明欄のURLをクリックする
  動画の中ではクラックソフトウェアの入手方法を説明しているわけですが、そのなかで触れられているファイルの入手先と思われるものが動画の説明欄に記載されています。
  記載されているURLはTinyURLなどのURL短縮サービスで短い状態になっていますので、一見、どこを指しているのかはわかりません。
  そもそもが後ろめたい内容なので、正規のサイトというものはないわけなのですが、クリックの障壁がより低いものとなるという効果もあるのかもしれません。

   

• ZIPをダウンロードする
  アクセスした先のURLのコンテンツでは、いくつかのファイルがダウンロードできるようになっています。
  そのなかにインストーラーであるという名称になっているZIPファイルがあります。
  被害者はこれをダウンロードします。

   

• ZIPの中身を利用する
  ZIPのなかにはいくつかのファイルが含まれています。
  その一つであるLNKファイルを開くと、LNKに含まれるコードによってGitHubからexeを入手する動きを行います。
  そして、そのexeはPowershellを呼び出します。
  そして、Powershellの動作により、最終的にLummaが設置されます。

Lummaの設置までの機構には、いくつかの検出回避の機能が実装されています。
デバッガーが動作しているか、サンドボックスで実行されているか、ユーザ名はサンドボックスで利用されるものとなっていないか、仮想環境ではないか、そういったことを確認し、その結果が通常の利用と判定された場合にだけ、マルウェアを設置する段階に進みます。

設置されてしまったLummaは、システムデータ、ブラウザ、仮想通貨ウォレット、ブラウザ拡張機能などを標的として活動を開始します。
悪いことをしようとしていたら、自分が悪いことをされる状態になってしまった、という感じでしょうか。

この手の話は、なにもクラックソフトウェアの入手に限った話ではないように思えます。
動画の説明欄のURLにも注意が必要ということですね。

参考記事（外部リンク）：Deceptive Cracked Software Spreads Lumma Variant on
YouTube
www.fortinet.com/blog/threat-research/lumma-variant-on-youtube