Steam、Epic Games Store、EA Originを含む複数のゲームプラットフォームのアカウントを盗むマルウェアがダークウェブフォーラムで販売されていることがわかりました。
3月にこの新しいトロイの木馬を発見したカスペルスキーのセキュリティ研究者は、これを「BloodyStealer」と名付け、クッキー、パスワード、銀行カード、さまざまなアプリケーションのセッションなど、広範な機密情報を収集して盗むことができることを発見しました。
このマルウェアは、Steam、Epic Games、EA Origin、GOG Galaxyなどのゲームプラットフォームを明確に標的としており、アカウントを採取して、そのアカウントを運営者がアンダーグラウンドで販売することができます。
BloodyStealerは、ゲーム関連の情報を盗むためだけに作られたものではありませんが、その対象となるプラットフォームは攻撃者の間でこの種のデータに対する需要があることを明確に示しています。ログ、アカウント、ゲーム内グッズは、ダークネットで一括または個別に魅力的な価格で販売されているゲーム関連商品の一部として販売されています。
この情報窃盗ツールは、アンダーグラウンドフォーラムのVIPメンバーを対象に、月額約10ドル、生涯使用可能な “ライセンス “であれば約40ドルのサブスクリプションモデルで、プライベートチャネルを通じて販売されています。
BloodyStealerは、検出回避機能とマルウェア解析保護機能を備えていることも売りにしています。
開発者の説明によると、その機能の全リストは以下の通りです。
- ブラウザからクッキー、パスワード、フォーム、銀行カードなどを取得する。
- PCに関するすべての情報とスクリーンショットの取得
- 以下のクライアントからセッションを盗む。Bethesda、Epic Games、GOG、Origin、Steam、Telegram、VimeWorld
- デスクトップのファイル(.txt)やuTorrentクライアントからファイルを盗む
- メモリからログを収集
- 重複したログの保護
- リバースエンジニアリングの保護
- CISでは機能しない
- 世界中のゲーマーへの攻撃に使用
カスペルスキーは、BloodyStealerが発見してから以降、ヨーロッパ、ラテンアメリカ、アジア太平洋地域の被害者を標的とした攻撃に使用されていることを検出しています。
カスペルスキーの研究員によると
BloodyStealerは、サイバー犯罪者がゲーム市場に侵入するために使用する高度なツールの代表例であり、その効率的な検出技術と魅力的な価格設定により、すぐに他のマルウェアファミリーと組み合わせて使用されることになるでしょう。
さらに、ブラウザのパスワード、クッキー、環境情報の抽出や、オンラインゲームのプラットフォームに関連する情報の取得など、興味深い機能を備えたBloodyStealerは、ゲーマーから盗んだデータを後にダークネットで販売するという価値を提供します
カスペルスキーのレポートには、BloodyStealerのアンチアナリシス機能とデータ流出機能に関する詳しい情報が掲載されています。
アンチアナリシス
今回の調査では、BloodyStealerのリバースエンジニアリングや解析を複雑にするために、パッカーの使用やアンチデバッグ技術など、いくつかのアンチ解析手法を確認することができました。Stealerはアンダーグラウンド市場で販売されているため、利用者は自分のサンプルを好きなパッカーで保護したり、多段階の感染チェーンに含めることができます。
BloodyStealerを監視していたため、BloodyStealerのサンプルの大半が「AgileNet」という商用ソリューションで保護されていることを認識しています。
また、実世界で発見されたサンプルを分析したところ、その中にはAgileNetだけでなく、Confuserなどの人気の高い.NET環境用保護ツールで保護されているものもありました。
カスペルスキー社は、このマルウェアの配信に使用された攻撃に関する情報を公開していませんが、ゲーマーは通常、勝利のためにチート行為を行ったり、ゲームをさらに改造したいと考えている場合、マルウェアが混入された改造関連ツールやゲームチートツールを携えて攻撃者に狙われることが多いことがわかっています。
ゲームチートは、マルウェアの感染源としてよく知られており、何年も前から倫理的でないゲーマーに暗号通貨マイナーやリモートアクセス型トロイの木馬などのマルウェアを感染させるために利用されてきました。
Comments