Bitdefender Labsは、EAの一人称シューティングゲーム「Battlefield 6」の人気に便乗したマルウェアキャンペーンを確認しました。これらは、海賊版と称するバージョン、ゲームインストーラー、偽のゲームトレーナーとして、トレントサイトやその他の容易に見つかるドメインを通じて配布されています。
DICEが開発しElectronic Arts(EA)が発売するElectronic Artsの「Battlefield 6」は10月にリリースされ、今年最も重要なゲームローンチの一つである可能性が高いでしょう。
サイバー犯罪者は、評価の高いゲームのリリースといった大きな出来事に便乗して、マルウェアを拡散します。
ゲームが購入・ダウンロード可能になるやいなや、犯罪者はトレントサイトやアンダーグラウンドフォーラムで、Battlefield 6の偽のクラック版を拡散し始めました。これらの「クラック済み」とされるゲームは、実際にはスティーラー、高度な回避ペイロード、さらにはコマンド&コントロール(C2)エージェントまでを配信する、感染したインストーラーやアプリです。
補足として、新作タイトルを常習的にクラックする実在のグループは多数存在し、その名前はオンラインコミュニティ内でよく知られています。InsaneRamZesとRUNEは、現在特に人気のあるグループのうちの2つに過ぎません。サイバー犯罪者が偽リリースに彼らの名前を使うことを選んだのは、おそらくそのためでしょう。これは、正規ブランドを模倣しようとする攻撃で用いられる手口と同様です。
しかし、Battlefieldの海賊版を探すユーザーだけが標的というわけではありません。Battlefield 6のプレイヤーは優位に立てる何かを探すかもしれず、攻撃者はそれを熟知しています。そこでサイバー犯罪者は、まさにそれを実現すると約束するゲーム「トレーナー」を作りましたが、実際には情報を盗むように設計されています。
このような3つのサンプルを分析した結果、ゲームの人気を武器化してPCを侵害し、機密データを抽出する攻撃が明らかになりました。
主な調査結果
- 複数のBattlefield 6「クラック」および「トレーナー」がオンラインで出回っているが、いずれも機能しない。
- 偽トレーナーは攻撃的なインフォスティーラーで、ブラウザと暗号資産ウォレットを標的にする。
- InsaneRamZesの海賊版は、高度なアンチ解析および地域回避技術を示す。
- RUNEの海賊版は、永続化とリモート制御が可能なC2エージェントを展開する。
- マルウェアサンプルにはBattlefield関連の実機能はなく、異なるグループによるものである可能性が高い。
海賊版ゲームとゲームトレーナーの解説
ゲームの海賊版は何年も前から存在します。ゲームの種類やパブリッシャーが採用する保護方式によっては、公式リリースと同じ日に海賊版がオンラインに出回ることも珍しくありません。
Battlefield 6のように高度な保護を統合し、マルチプレイヤー要素が非常に大きいゲームは、海賊版化により長い時間がかかります。しかし、誰もがそれを知っているわけではなく、Battlefield 6の海賊版を実際にダウンロードしていると信じてしまう潜在的な被害者は常に存在します。
また、ここで調査した海賊版には、InsaneRamZesとRuneという2つの追加名が付いていることにも気づくかもしれません。ゲームを海賊版で入手しない人には奇妙に聞こえるかもしれませんが、これらは新作ゲームをクラックする実在のグループです。このケースでは、攻撃者は信頼性を持たせるために彼らの名前を利用し、人々に「本物」を手に入れていると思い込ませようとしています。
さらに悪いことに、実在のRUNEグループがBattlefield 6のクラック版をリリースしており、これがマルウェア拡散を助長するだけでしょう。 ユーザーが既知のトレントトラッカーにアクセスし、誤ってマルウェア混入版をダウンロードしてしまう可能性は非常に高いです。
ゲームトレーナーについて言えば、これらは(多くの場合は正当な)アプリケーションで、プレイヤーがゲームに変更を加えられるようにします。たとえば、ゴールドコインや他のゲーム内リソースを増やしたり、一人称シューティングで不死身になったりすることさえ可能です。
これらのトレーナーは通常シングルプレイヤータイトル向けに設計されており、マルチプレイヤーでは動作しません。場合によっては、マルチプレイヤーでそのようなソフトウェアを使用したプレイヤーがBANされることもあります。
なお、一部のセキュリティソリューションは、その動作の仕組みからゲームトレーナーを潜在的に危険として検出する場合があります。状況によっては、特定の種類のマルウェアが正当なトレーナーと同じ挙動を示すことがあります。
偽のBattlefield 6トレーナー(インフォスティーラー)
最初のサンプルは「Battlefield 6 Trainer Installer」を装っています。ユーザーはGoogleで「Battlefield 6 trainers」と検索するだけで、このマルウェアを容易に見つけてしまいます。サイズが小さく難読化もないにもかかわらず、実行されるとすぐにデータを窃取します。
このウェブサイト(https[:]//flingtrainer[.]io/)には、同種のスティーラーをばらまくだけの「トレーナー」が多数掲載されています。FLiNGという名前も、正当なアプリで知られる実在のゲームトレーナー開発者から盗用されています。
挙動の概要
実行ファイルはローカルのユーザーディレクトリおよびインターネットブラウザのプロファイルを走査し、次のようなデータを取得します:
- Chrome、Edge、Firefox、Opera、Brave、Vivaldi、WaveBrowserからの暗号資産ウォレットおよびCookieセッション。
- Discordのセッショントークンおよび認証情報。
- iWalletやYoroiなどのChromeアドオンからの暗号資産ウォレット拡張データ。
盗まれた情報は、トラフィックを隠す試みもなく、平文HTTPで198[.]251[.]84[.]9へ送信(流出)されます。
このマルウェアは単純であるがゆえに非常に効果的で、アンチ解析対策がなく、仮想マシン内でも動作します。
「Battlefield 6.GOG-InsaneRamZes」 (回避型マルウェア)
2つ目のサンプルは、トレントサイトを通じてBattlefield 6.GOG-InsaneRamZesとして配布されており、ステルス性と環境認識を含む、まったく異なる戦略を用いています。
地域に基づく実行ブロック
ペイロードを展開する前に、マルウェアはロケール識別子の配列を構築し、ロシアまたはCISの地域設定を検出すると実行を停止します。
逆アセンブルにより、RU、AM、AZ、BY、KZ、KG、LT、UZなどのコードとのロケール比較が示され、該当するシステムでは即時終了することが分かります。
これは、特定の法域での法的リスクを避けるためにロシア系マルウェアグループがしばしば用いる自己防衛策です。
Windows APIハッシュ化
動作の仕組みを分かりにくくするため、マルウェアはAPI呼び出しをハッシュ化された文字列の背後に隠します。実行時に、(システムDLLから)各ターゲットAPIのハッシュを特定しようとします。ハッシュが一致すると、後で使用するために保存します。
GetSystemDefaultLCID、GetLocaleInfoW、GetUserGeoIDへの呼び出しを隠すためのAPIハッシュ化を示す逆コンパイルコード。
アンチサンドボックスのタイミングチェック
このマルウェアはGetTickCount() テストも実行します。これはサンドボックス内で動作しているかどうかを検出するための手法です。基本的には、システムの稼働時間を特定し、マシンがどれくらい動作しているかを推定しようとします。これは攻撃者の間で比較的一般的な手法です。
開発者ツールの標的化
メモリ文字列の分析により、CockroachDB、Postman、BitBucket、FastAPIなどのソフトウェアへの参照が明らかになりました。これは、このスティーラーがAPIキーを狙っている、またはデータベース認証情報を流出させていることを示唆します。
このサンプルは完全なペイロード実行を完了する前にクラッシュしましたが、証拠は、ブラウザやDiscordなどからの一般的なものに限らず、他の種類の認証情報も収集しようとしている意図を示しています。
Battlefield 6 V4.8.8 DLCs – Bonuses -RUNE(C2エージェント)
3つ目のサンプルは、Battlefield 6のISOイメージを装い、永続化するコマンド&コントロールエージェントを配信します。
ISOの中には、ZLIB圧縮された オブジェクトを含む25MBのMZ実行ファイルがあります。実行すると:
- バイナリがZLIBコンテンツを展開する。
- 現在のユーザーディレクトリに2GreenYellow.datという名前のファイルを書き込む。
- regsvr32.exe /s /i “C:\Users\<User>\2GreenYellow.dat” を使用してサイレント実行する。
- /iフラグにより、DLLのDllInstallエクスポート関数がトリガーされる。
このDLLには、標準的なエクスポートが3つ含まれます:
- DllRegisterServer
- DllInstall
- DllUnRegisterServer
初期化後、DLLはei-in-f101[.]1e100[.]netへの接続を繰り返し試みます。これはGoogleに属するドメイン上にあります。このドメインがリレーとして、またはC2通信を偽装するために使用されている可能性があります。
テスト中はC2ビーコニングに失敗しましたが、コード構造から、リモートコマンド実行またはデータ流出を目的として設計されていることが示唆されます。C2エージェントであるため、攻撃ベクトルの数は無数にあります。
結論
これらの悪意あるBattlefield 6海賊版およびトレーナーの発見は、ゲーム分野における非常に現実的で、極めて活発な脅威モデルを浮き彫りにしています。攻撃者は、新作タイトルに対するプレイヤーの 好奇心と焦りにつけ込んでいます。
何人がマルウェアをダウンロードしたかを特定することは不可能ですが、トレントでは数百のアクティブなシーダーとリーチャーを確認しており、彼らは全員が潜在的な被害者です。
Battlefield 6トレーナーは、単純なGoogle検索の2ページ目に表示されており、多数の潜在的被害者が存在することを示しています。
分析したファイルはいずれも、いかなる機能も提供しません。
- ブラウザおよびウォレットデータを大量に収集するための未熟なスティーラー。
- 検出回避を目的とし、開発者の認証情報に焦点を当てた回避型ペイロード。
- リモート制御および将来的な悪用のためのモジュール型ローダー。
Bitdefenderはユーザーに強く推奨します:
- Battlefield 6およびその他のゲームは、公式プラットフォーム(EA App、Steam、Epic Games Store、Uplay、GOGなど)からのみ購入・ダウンロードすること。
- トレント、サードパーティの「トレーナー」ユーティリティ、不明な実行ファイルを避けること。
- 悪意あるペイロードが実行される前にブロックするため、リアルタイムの振る舞い検知保護を導入すること。
翻訳元: https://www.bitdefender.com/en-us/blog/labs/fake-battlefield-6-pirated-games-trainers
