Steam Workshopの共有モデルを悪用した高度なマルウェアキャンペーンが確認されています。Wallpaper Engineのパッケージ内にバックドア、情報窃取型マルウェア、暗号通貨マイナーを隠し込み、主に中国およびロシアのゲーマーを標的に配布を行っています。
このキャンペーンは、Wallpaper Engineの「アプリケーション」壁紙タイプ——実質的にアニメーション化されたデスクトップ背景として動作するスタンドアロン実行ファイル——を悪用しており、ユーザーが不正な壁紙を適用した瞬間に任意のコードを実行させます。
Wallpaper Engineの大規模なユーザーベースとSteam Workshopとの深い統合により、攻撃者は信頼度の高い効率的な配布チャネルを手に入れ、大規模な感染とアカウント乗っ取りを実現しています。
Wallpaper Engineは、Steam上で広く利用されているライブ壁紙アプリであり、動画・シーン・Web・アプリケーションなど多様な壁紙形式に対応しています。
中でもアプリケーション壁紙は最もリスクが高く、Windowsの完全な実行ファイルをユーザーのデスクトップ背景として動作させることができるため、インタラクティブなミニアプリ、ウィジェット、ツールの実行が可能となっています。
脅威アクターはトロイの木馬化されたアプリケーション壁紙をパッケージ化してWorkshopに公開し、コミュニティメンバーがそれを発見してインストールするよう仕向けます。
確認された多くのケースでは、悪意あるペイロードが壁紙アーカイブ内に同梱されるか、パスワード保護されたアーカイブ内に隠蔽されており、解凍キーはファイル名や設定JSONに埋め込まれているため、インストールスクリプトがユーザーに気づかれることなく展開できる仕組みになっていました。
カスペルスキーがGBhackersと共有したレポートによると、Wallpaper Engineはデスクトップにアニメーション壁紙を表示できるアプリで、WindowsとAndroidの両方に対応しています。
実行後、これらの壁紙は表面上は正常に動作します——アニメーション背景やゲーム風UIは期待通りに機能しながら、裏側では悪意あるコードがひそかに動作し続けます。
Steam Workshopマルウェアキャンペーンの詳細
複数のサンプル分析から、一貫した多段階のパターンが明らかになっています。実行可能な壁紙がバックドアバイナリ(たとえば、DarkKometファミリーに関連するSynaptics.exe)をドロップし、次に._cache_GAME1.exeといったセカンダリモジュールを起動します。このモジュールが、認証情報を収集するペイロードを含む改ざんされたシステムライブラリ(AggregatorHost.dll)をインストールします。
改ざんされたライブラリは、アクティブなSteamセッションを検索して乗っ取り、認証データとセッショントークンを窃取します。
窃取されたセッション情報は攻撃者が管理するインフラへ送出されます。調査で確認されたC2エンドポイントの一つはhxxp://120.48.156[.]17/ey.phpであり、攻撃者はこれを通じてアカウントを乗っ取り、正規の侵害済みプロフィールを使ってSteam Workshopにさらなる悪意あるコンテンツを公開しています。
被害者のテレメトリから、これが単一の攻撃者による限定的な標的型作戦ではないことが分かります。このキャンペーンは幅広いツール群を配布しており、VidarやLummaなどのパスワード窃取型インフォスティーラー、DarkKometなどのバックドア、ドロッパー、Pythonベースのトロイの木馬、システムリソースを消費する暗号通貨マイナー、さらにはランサムウェアの亜種まで含まれています。
地理的分布を見ると、中国が約89%と圧倒的な割合を占めており、次いでロシアが5.5%、その他シンガポール、香港、ドイツ、ベトナム、インド、カナダと続いています。
中国ユーザー向けにローカライズされたアートワークやタイトルが使用されていることから、意図的な標的絞り込みが示唆されますが、使用されているインフラや手法は最小限の調整でグローバルに転用可能です。
Steamは確認された悪意あるWorkshopアイテムを削除する対応を取りましたが、このキャンペーンは持続的かつ創意ある悪用に対するプラットフォームモデレーションの限界を示すものとなっています。
防御側は、実行可能コードを動作させるユーザー共有コンテンツを高い警戒感を持って扱う必要があります。具体的な対策としては、アプリケーション型壁紙の無効化、Wallpaper Engineの権限制限、インストール前のWorkshopコンテンツの事前確認、そして最新のエンドポイント保護ソフトによるダウンロード済み壁紙パッケージのスキャンが挙げられます。
セキュリティベンダーは発見されたサンプルをHEUR:Trojan-PSW.Win32.gen、HEUR:Backdoor.Win32.DarkKomet、Trojan-Dropper.Python.Agent、HEUR:Trojan-Ransom.Win32.Gen.genなどのヒューリスティックおよび判定名でフラグ付けしており、プロアクティブな防御レイヤーが適切に構成されていれば検出が可能であることを示しています。
ゲーマーおよびプラットフォーム運営者は、共有コンテンツが敵対的である可能性を前提として、アプリケーションレベルの制御、厳格な審査プロセス、脅威検出機能を組み合わせて今後の悪用を防ぐ必要があります。
今回のインシデントは、より大きなトレンドを浮き彫りにしています。攻撃者は従来の防御をすり抜けるために、正規のコミュニティ主導型プラットフォームや創造的な機能をますます武器として利用するようになっています。
侵害の痕跡(IoC)
| MD5 | C2サーバー |
|---|---|
| 95856f2ce428c728d9781d3296558068 | http://202.144.192[.]29 |
| af080780cca2acd1d082ce01e7cc346a | http://202.144.192[.]29/audit.php |
| c133c3dd9f7d6934598025047df41abf | http://202.144.192[.]29/download2/Themes2.zip |
| d1693bbff456ae8fa3360446706df6da | http://120.48.156[.]17 |
| 8c2cc585ad8a13a72a704c0fda0c9854 | http://120.48.156[.]17/ey.php?ka=user1&id |
| b9fa763a53da3eea742d0f3c845a8c09 | http://brightly[.]to |
| ded08ae5df7f1b12e5fdb767dbbed0b1 | http://brightly[.]to/download2/Themes2.zip |
| 20965254e29104986e11939decd39549 | https://www.dropbox[.]com/s/zhp1b06imehwylq/Synaptics.rar?dl=1 |
| 18dedc0009f0927cba6425c84cce9883 | https://docs.google[.]com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download |
| 0f4f01c6d495abb37403072dd017ce8d | (特定のC2 URLなし) |
| 5620f01284329f561b1839a36be55355 | (特定のC2 URLなし) |
| fe1f6485013cd5e6d5cf718049b0b8d6 | (特定のC2 URLなし) |
| 74414ed4b63aadec039b603c32762b80 | (特定のC2 URLなし) |
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクの生成を防ぐため、意図的にデファング(無害化)処理されています(例:[.])。再ファング(元の形式への復元)は、MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://gbhackers.com/steam-workshop-malware-campaign/
