Redlineに関連する新たな情報窃取マルウェアが、「Cheat Lab」と呼ばれるゲーム・チートを装い、ダウンロードしたユーザーが友人にもインストールするよう説得すれば無料で入手できると約束している。
Redlineは、感染したコンピュータからパスワード、クッキー、オートフィル情報、暗号通貨ウォレット情報などの機密情報を採取することができる強力な情報窃取マルウェアです。
このマルウェアはサイバー犯罪者の間で非常に人気があり、多様な流通経路を利用して世界中に広がっています。
(マカフィー)
McAfeeの脅威研究者によると、この新しい情報窃取プログラムは、Luaバイトコードを活用して検出を回避し、マルウェアがステルス性を確保するために正規のプロセスに侵入したり、JIT(Just-In-Time)コンパイルのパフォーマンスを利用したりすることを可能にします。
研究者らは、この亜種をRedlineと関連付けています。Redlineは、以前マルウェアと関連していたコマンド・アンド・コントロール・サーバーを使用しているためです。
しかし、「Redline」のテストによると、このマルウェアは、ブラウザ情報を盗んだり、パスワードを保存したり、クッキーを保存したりといった、典型的な「Redline」に関連する動作を示していません。
友人にも感染させたい
悪意のあるRedlineのペイロードは、MicrosoftのGitHubリポジトリ「vcpkg」にリンクされたURLを通じて、「Cheat Lab」や「Cheater Pro」と呼ばれる不正ツールのデモになりすます。
このマルウェアは、起動時にcompiler.exeとlua51.dllの2つのファイルを解凍するMSIインストーラを含むZIPファイルとして配布される。また、悪意のあるLuaバイトコードを含む「readme.txt」ファイルもドロップします。
Source:McAfee
このキャンペーンでは、興味深い誘い文句を使い、被害者に「友人にもインストールするよう説得すれば、不正プログラムの完全ライセンス版を無料で入手できる」と伝え、マルウェアをさらに配布しています。
メッセージには、正当性を高めるためのアクティベーション・キーも含まれている。
「完全版のロックを解除するには、このプログラムを友人と共有するだけです。そうすれば、プログラムは自動的にアンロックされます。
Source:McAfee
検出を回避するため、マルウェアのペイロードは実行可能ファイルとしてではなく、コンパイルされていないバイトコードとして配布されます。
インストールされると、compiler.exeプログラムがreadme.txtファイルに格納されたLuaバイトコードをコンパイルし、実行します。同じ実行ファイルは、システム起動時に実行されるスケジュールされたタスクを作成することで、永続性も設定する。
McAfeeの報告によると、このマルウェアは永続化のためにフォールバックメカニズムを使用しており、3つのファイルをプログラムデータの下の長いランダムパスにコピーします。
Source:McAfee
感染したシステム上でアクティブになると、マルウェアはC2サーバーと通信し、アクティブなウィンドウのスクリーンショットやシステム情報を送信し、ホスト上で実行されるコマンドを待ち受けます。
初期感染に使用される正確な方法は特定されていないが、情報窃取者は通常、不正広告、YouTubeの動画説明、P2Pダウンロード、欺瞞的なソフトウェア・ダウンロード・サイトを通じて拡散される。
ユーザーには、署名のない実行ファイルや怪しいウェブサイトからダウンロードされたファイルを避けることが推奨される。
この攻撃は、MicrosoftのGitHubのような一見信頼できそうな場所からプログラムをインストールしても、Redlineに感染する可能性があることを示している。
GitHubのURLを通じて配布された実行ファイルについて、マイクロソフト社に問い合わせたが、掲載までに回答は得られなかった。
4/20更新:McAfeeは、Microsoftにこの悪用について報告したことを確認した。
マカフィーはマイクロソフトのセキュリティ・レスポンス・チームと直接連絡を取っている。- マカフィーの広報担当者
Comments