ゲームチート偽装のNuGet悪意パッケージ11個、Windows監視マルウェアを配布

Socketの脅威リサーチチームは、ゲームチートやボット、「パネル」を装った11個の悪意あるNuGetパッケージを発見しました。これらはWindows向けの監視機能を備えたペイロード「pepesoft.exe」を配布します。

これらのパッケージは、DotnetToolパッケージとも呼ばれる.NETコマンドラインツールとしてアップロードされていました。

標的となるのは、Albion Online、GTA5RP、GrandRP、Majestic RP、Lineage 2、Throne and Liberty、Russian Fishing 4などのプレイヤーです。

研究者たちはこれらのパッケージをNuGetに報告し、削除および公開元アカウントの停止を要請しました。

この攻撃キャンペーンは2段階の構成になっています。まず、NuGet経由でインストールされる悪意ある.NETダウンローダーが、第2段階の実行ファイルを取得して起動します。

続いてこのペイロードがホスト情報を収集し、攻撃者が管理するクラウドサービスと通信します。さらにハードウェアベースのライセンス認証を行い、一部のバージョンではTelegram経由で制御されるスクリーンショット収集機能も有効化します。

11個のパッケージすべてに、tools/net8.0/any/配下に格納されたダウンローダーのアセンブリが含まれています。実行すると、「Launching, please wait」や「Downloading assets」といった、通常のアップデーターに似せたロシア語のメッセージが表示されます。

これらのパッケージは、複数のインスタンスが同時実行されるのを防ぐため、共通のWindowsミューテックス「Global\{5BD61028-3D9C-4B4E-AD45-CA4F1B35D0F4}」を使用しています。

また、MonoTorrentおよびMono.Natのライブラリも同梱されていますが、解析されたサンプルではBitTorrentによる配布機構は休眠状態でした。

このダウンローダーは、Hugging Faceおよびユーザー名「pepegit666」に紐づくGitHub Releasesのインフラからpepesoft.exeを取得しようとします。

各悪意あるパッケージは、albion.onlinepanel、gta5rp.com、throne、trigpanelといったゲーム固有のリリースタグを参照しています。第2段階のペイロードは、PyInstallerでパッケージ化されたPythonアプリケーションです。

Socketが復元したペイロードは、すべてのパッケージの派生バージョンに関連付けられており、クラウド設定の取得、Googleスプレッドシート連携、ライセンス確認、デバイスフィンガープリンティング、リモートによるBANリスト適用といった共通コードが確認されました。

このマルウェアは、Cloudflare Worker経由でservice.json設定ファイルを取得し、失敗した場合はS3互換のSelectelストレージバケットにフォールバックします。その後、埋め込まれたサービスアカウント情報を使ってGoogleスプレッドシートに認証します。

復元されたペイロード群全体を通じて、このマルウェアはライセンス情報とシステムの状態を、攻撃者が管理するGoogleスプレッドシートに記録します。

ハードウェアUUID、ディスクシリアル番号、MACアドレス、CPU、マザーボード、GPUといった識別子を用いて、アクティベーションキーを特定のデバイスに紐づけることも可能です。

また、リモートの「BANリスト」ワークシートを参照し、デバイスのフィンガープリントがそのリストに含まれていれば動作を終了します。Albion、Calculator、Throneを標的とする3種類の直接バイトコードビルドには、より広範な監視機能が備わっています。

これらの亜種は、ユーザー名、ホスト名、Windowsのバージョン、画面解像度、プロセッサの詳細情報、GPUデータ、アクティブウィンドウのメタデータ、インターネット接続状況、IPベースの位置情報、ネットワーク接続数などを収集すると、Socketは述べています

さらに、スクリーンショットの取得と送信が可能なTelegramボットのハンドラーも含まれています。/screenや/pscreenといったコマンドで、ゲームのウィンドウやPepesoftアプリケーションのウィンドウをキャプチャできます。

一方、Throne関連の一部機能では画面全体をキャプチャすることも可能です。キャプチャ範囲に映り込んだブラウザセッション、暗号資産ウォレット、パスワード、プライベートメッセージ、リカバリーフレーズなどの機密情報が、外部に流出する恐れがあります。

注: IPアドレスおよびドメインは、誤ってアクセスされたりリンクとして機能したりしないよう、意図的に無害化表記(例: [.])にしています。再度有効な形式に戻す作業は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンス基盤上でのみ行ってください。

翻訳元: https://cyberpress.org/nuget-packages-deploy-spyware/

ソース: cyberpress.org