YouTube Users Targeted By RedLine Self-Spreading Stealer
2022/09/15 InfoSecurity — RedLine スティーラーを用いる脅威アクーたちが、YouTube ユーザーをターゲットにしたキャンペーンを実施している。今日の未明に Kaspersky のサイバー・セキュリティ研究者たちが、このキャンペーンに関するアドバイザリを発表した。その一方で Oleg Kupreev は、「2020年3月に発見された RedLine は、ブラウザ/FTP クライアント/デスクトップ・メッセンジャーなどから、パスワードや認証情報を盗むために使われる最も一般的なトロイの木馬の1つだ。
それは、アンダーグラウンドのハッカー・フォーラムで、数百ドルで公然と入手できるものであり、マルウェアとしては低価格に設定されている」と述べている。
セキュリティ専門家たちによると、RedLine は Chromium/Gecko ベースのブラウザから、ユーザー名/パスワード/クッキー/銀行カードの詳細/自動入力データなどを、盗み出せるようだ。また、暗号ウォレット/インスタント・メッセンジャー/FTP/SSH/VPN クライアントからのデータ取得や、特定の拡張子を持つファイルをデバイスから取得することも可能だそうだ。
また、このマルウェアは、サードパーティ・ソフトウェア・ツールのダウンロード/実行や、cmd.exe によるコマンド実行、デフォルト・ブラウザでのリンク・オープンなども可能だと報告されている。
Oleg Kupreev は、「このスティーラーは、悪意のスパムメールやサードパーティーのローダーなどを用いて、さまざまな方法で拡散していく」と説明していく。
また、Kaspersky は、ペイロードの展開だけではなく、発見されたバンドル機能が自己増殖を行うことに気づいた。
同社のアドバイザリには、「いくつかのファイルが自己増殖を担当しており、動画を受信して感染したユーザーの YouTube チャンネルに、このバンドルを取り込んだ、パスワードで保護されたアーカイブへのリンクを貼り付ける。この種のビデオは、人気のゲームやソフトウェアのハッキングの手順として、チートやクラックを宣伝/提供する」と記載されている。
技術的な観点から見ると、これらのバンドルは、いくつかの悪意のファイル/クリーンユーティリティ/自動的に解凍されたコンテンツなどを、実行するようにプログラムされたスクリプトを含む、自己解凍 RAR アーカイブである。
Kaspersky は、RedLine を含む自己展開型バンドルは、ゲームハックを装って配布されるスティーラー型マルウェアの典型例であると述べている。
また Kupreev は、「サイバー犯罪者は、クラックやチートの広告および、ゲームのハッキング方法の説明で被害者を誘う。その一方で、この自己増殖機能は、カスタマイズされたオープンソースのスティーラーのような、比較的単純なソフトウェアを使用して実装されている。つまり、違法なソフトウェアを細心の注意を払って取り扱う必要性を、さらに証明するものだ」と述べている。
Akamai のレポートが、ゲーム分野におけるサイバー攻撃が、前年比で 167% 増加したことを示唆した数日後に、今回の Kaspersky アドバイザリは発表されている。先月に Cisco Talos が発見した ModernLoader キャンペーンでも、この RedLine スティーラーの存在が確認されている。
つい先日の 9月6日に、「Minecraft に潜む大量のマルウェア:脅威アクターたちがゲーム環境を好む理由とは?」という記事をポストしましたが、ゲーマーの好むチートなどをルアーにして、ブラウザから個人情報を盗み出すという手口のようです。そして、RedLine というスティーラーは、自己増殖のため機能と仕組みに長けているようです。カテゴリ Dark Web を見れば一目瞭然ですが、さまざまな手口で摂取された、さまざまな個人情報が販売されています。ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.