サイバー犯罪者は、YouTuberに偽の著作権主張を送りつけ、動画でマルウェアや暗号通貨マイナーを宣伝するよう強要している。
この脅威者は、インターネット検閲や政府によるウェブサイトやオンラインサービスの制限を回避するために、ロシアで利用が拡大しているWindows Packet Divert(WPD)ツールの人気に便乗しています。
このような視聴者を対象とするYouTubeクリエイターは、検閲を回避するためのさまざまなWPDベースのツールの使用方法に関するチュートリアルを公開しており、これらのツールの著作権者を装った脅威行為者に狙われています。
カスペルスキーが確認したほとんどのケースでは、脅威行為者は提示された制限回避ツールのオリジナル開発者を名乗り、YouTubeに著作権クレームを提出した後、クリエイターに連絡し、彼らが提供するダウンロードリンクを含める形で解決策を提示します。
同時に、YouTubeの “スリーストライク “ポリシーに基づき、違反するとさらに2つの “ストライク “を受けることになり、チャンネルがBANされる可能性があると脅している。
他のケースでは、攻撃者は作成者に直接連絡し、ツールの開発者になりすまし、オリジナルのツールに新しいバージョンや新しいダウンロードリンクがあると主張し、作成者に動画上で変更するよう求めます。
出典:Kaspersky:カスペルスキー
作成者はチャンネルを失うことを恐れ、脅威行為者の要求に応じ、動画内に当該Windows Packet Divert(WPD)ツールをホストするGitHubリポジトリへのリンクを追加することに同意する。しかし、これらはトロイの木馬化されたバージョンであり、代わりにクリプトマイナーのダウンローダーが含まれている。
カスペルスキーは、このような混入されたWPDツールのプロモーションがYouTubeの動画で行われ、40万回以上の再生回数を記録し、悪意のあるリンクが削除されるまでに4万回ダウンロードされたことを確認しています。
340,000人の加入者を持つTelegramチャンネルも、同じ偽装でマルウェアを宣伝していた。
「我々の遠隔測定によると、このマルウェアキャンペーンはロシアで2,000人以上の被害者を出しているが、全体としてはもっと多い可能性がある」とカスペルスキーは警告している。
出典:Kaspersky:カスペルスキー
SilentCryptoMinerの展開
GitHubリポジトリからダウンロードされた悪意のあるアーカイブには、Pythonベースのマルウェアローダーが含まれており、修正されたスタートスクリプト(’general.bat’)を介してPowerShellを使用して起動されます。
被害者のウイルス対策ソフトがこのプロセスを妨害した場合、スタートスクリプトは「ファイルが見つかりません」というエラーメッセージを表示し、ウイルス対策ソフトを無効にしてファイルを再ダウンロードするよう促します。
実行ファイルは、ロシアのIPアドレスに対してのみ第2段階のローダーをフェッチし、デバイス上で実行します。
セカンドステージのペイロードは、アンチウイルス分析を回避するためにサイズが690MBに肥大化した別の実行ファイルであり、アンチサンドボックスと仮想マシンのチェック機能も備えています。
マルウェアローダーは、除外を追加することでMicrosoft Defenderの保護をオフにし、リブート間で持続するために「DrvSvc」という名前のWindowsサービスを作成する。
最終的には、最終的なペイロードであるSilentCryptoMinerをダウンロードします。SilentCryptoMinerは、ETH、ETC、XMR、RTMを含む複数の暗号通貨をマイニングできるXMRigの修正バージョンです。
このコイン・マイナーは、100分ごとにPastebinからリモート設定をフェッチし、動的に更新できるようにする。
回避のために、プロセスホロリングを使用して「dwm.exe」のようなシステムプロセスにロードされ、ユーザーがプロセスエクスプローラやタスクマネージャのような監視ツールを起動すると、マイニング活動を一時停止します。
カスペルスキーが発見したキャンペーンは主にロシアのユーザーをターゲットにしていますが、情報窃取やランサムウェアのようなリスクの高いマルウェアを配信する、より広範な規模の作戦でも同じ手口が採用されている可能性があります。
ユーザーは、YouTubeの動画や説明文にあるURLからソフトウェアをダウンロードすることは避けるべきで、特に詐欺や恐喝に遭いやすい中小規模のチャンネルからのダウンロードは避けるべきです。
Comments