- YouTubeを経由した不正Minecraftモッドによる拡散
- 防衛機能の無効化とリモートアクセスの有効化
- 無料・有料プランを提供するMaaSとして提供
サイバー犯罪者がYouTubeを悪用し、Minecraftユーザーを標的とするマルウェアを拡散させています。このマルウェアに感染すると、被害者のコンピューターを完全に掌握されてしまいます。
今年1月、セキュリティ研究機関のMcAfee Labsは「Weedhack」と名付けられた新たな悪意あるキャンペーンを発見しました。このキャンペーンでは、攻撃者が多数のYouTubeチャンネルや独立したウェブサイトを作成し、Minecraftのクライアントやモッドへのリンクを宣伝していました。
攻撃者はWeedhack(正規のMinecraftモッドにマルウェアを埋め込む機能を備えた、エンタープライズグレードのダッシュボードとみられるツール)を活用し、不正なモッドやクライアントを作成しました。これらは「DonutDupe.jar」という名称の.JARファイルを配布するものでした。
業界への影響
.JARファイルはJavaエコシステムで使われるアーカイブ形式で、複数のファイルを一つにまとめるものです。このファイルを実行すると連鎖反応が引き起こされ、Windows Defenderが無効化され、システム情報が収集されるとともに、持続性の確立とリモートアクセスの有効化を目的とした2つの追加ペイロードが投下されます。
McAfeeによると、このキャンペーンの累計ヒット数は11万6,464件に上り、1日あたり平均2,000〜3,000件のアクセスを記録していました。感染者の大半は米国に集中しており、ドイツ、インド、英国、イタリア、ベトナム、カナダ、ノルウェー、スウェーデン、フィンランド、スペインも上位に挙げられています。
McAfeeはWeedhackを「Minecraftに特化したMaaS(Malware-as-a-Service)」と位置付けています。カスタムペイロードはゲームのバージョン1.21.0〜1.21.11を標的としており、ダッシュボードでは窃取した認証情報や流出したシステム情報を一元的に確認できます。このMaaSはTelegramチャンネルで無料・有料の2段階で提供されているとみられ、無料版でもスクリーンショット取得やファイル流出といった豊富な機能が備わっています。一方、月額4.99ドルの有料版ではウェブカメラアクセス、キーロギング、リバースシェル実行などの高度な機能が追加されます。
「Weedhackが際立っている点の一つは、クリアネット上でホストされており、高度なマルウェアを無料で提供していることです」とMcAfeeの研究者は説明しています。「コストの低さとアクセスのしやすさに加え、マルウェアの使い方を詳しく解説したチュートリアルも用意されており、潜在的な利用者にとっての参入障壁が大幅に下がっています。さらに、Minecraftアカウントを窃取する機能が若年層を引き付ける点も見逃せません。これらの要素が相乗効果をもたらし、このキャンペーンの危険性をさらに高めています。」
