TokyoBlackHatNews

gbhackers.com 4分で読了

サイバー犯罪者がItch.ioとPatreon上の偽ゲームアップデートを利用してLumma Stealerを拡散

インディーゲームコミュニティが、新たで高度な脅威に直面しています。悪意ある攻撃者がitch.ioとPatreonを悪用し、正規のゲームアップデートを装ったLumma Stealerマルウェアを配布し、プラットフォーム全体での体系的なスパムキャンペーンを通じて、何も知らないゲーマーを標的にしています。

新たに作成されたitch.ioアカウントが、正規ゲームのコメント欄を「ゲームアップデート」を提供すると主張するテンプレート化されたメッセージで埋め尽くしています。

これらのコメントは、ユーザーをPatreonのリンクへ誘導し、「Updated Version.zip」という名前のアーカイブをダウンロードさせます。

このメッセージ戦略は、itch.ioのエコシステムに不慣れなユーザーを混乱させ、実際のゲーム開発者ではなく悪意ある攻撃者からのアップデートであるにもかかわらず、本物だと信じ込ませる可能性があります。

Image
 正規のItch.ioゲームのコメント欄に投稿された、偽のゲームアップデート。

アーカイブを展開すると、中のほとんどのファイルは一見無害に見えます。しかし、メインの実行ファイルである「game.exe」には、実際のマルウェアペイロードが含まれており、検出を回避するための複数の回避技術を用いる高度な脅威となっています。

新たな手法:nexeコンパイル

このキャンペーンを特徴づけているのは、Node.jsアプリケーションをスタンドアロンのPE実行ファイルに変換するコンパイラであるnexeの利用です。

Image
Detect-It-Easyが「game.exe」の基本的な静的情報を表示しており、赤い矢印はファイルがnexeでパックされていることを示している。

これは、nexeが実際の環境でマルウェア配布のために武器化された、初の文書化された事例であると見られます。

従来、Node.jsベースのマルウェアはnode.exeランタイムを必要としていましたが、この手法によりその依存関係が排除され、マルウェアはよりポータブルになり、検出も一層困難になります。

逆コンパイルにより、「mains.js」という名前の難読化されたJavaScriptファイルが明らかになりました。これはマルウェアの中核エンジンとして機能し、セキュリティ研究者や自動解析システムを妨害するための多数のアンチ解析ルーチンが詰め込まれています。

このマルウェアは、6つの個別のアンチ解析サブルーチンから成る包括的な防御戦略を実装しています。

最初のサブルーチンはシステムリソースをチェックし、RAMが4GB未満、またはCPUコアが2つ以下の場合には実行を停止します。これは仮想環境を示す指標となります。

Image
 4つ目のアンチ解析モジュール。win32_VideoController WMIクラスを使用してビデオコントローラー名を検索する。

2つ目は、広範な事前定義リストからサンドボックス環境でよく使われるユーザー名を検索します。「sandbox」「vmware」「malware」など、一般的な解析システムの識別子が含まれています。

3つ目のサブルーチンは、実行中のプロセスを60以上のマルウェア解析ツールのリストと照合します。そこには、IDA ProのようなデバッガやWireshark、Burp Suiteなどが含まれます。

4つ目は、ビデオコントローラー名を調べ、VMware SVGA 3DやVirtualBoxグラフィックアダプターなどの仮想化インジケーターを特定します。

5つ目はシステムのリフレッシュレートをチェックし、仮想環境に典型的な29Hz未満であれば実行を終了します。最後に6つ目は、ディスクドライブのモデル名を調査し、仮想マシンを示す識別子がないか確認します。

LummaStealerのペイロード配信

これらの防御をすり抜けると、マルウェアはリフレクティブローディング技術を用いて最終ペイロードを展開します。

マルウェアは「modules.node」という名前のファイルをデコードして書き込みます。これはNode.js APIのエクスポート関数を持つDLLで、システムの一時ディレクトリに保存されます。このDLLが、悪名高い情報窃取マルウェアであるLummaStealerの亜種をNode.js APIを用いてメモリ上に直接ロードします。

複数のitch.ioアカウントにまたがって、このキャンペーンを単一の脅威アクターが運用していることを示す証拠があります。

サンプルごとにエンコード方式やコマンドライン手法が異なり、中には仮想化検出にWMIコマンドではなくPowerShellを使用しているものもあります。

itch.ioが悪意あるアカウントを削除しているにもかかわらず、新たなアカウントが次々と現れ、キャンペーンの勢いは維持されています。

ユーザーは、itch.ioからゲームアップデートをダウンロードする際には細心の注意を払い、コミュニティのコメントではなく、必ず公式のゲーム開発者チャネルを通じてアップデートを確認するべきです。

セキュリティチームは、nexeでコンパイルされた実行ファイルを監視し、この継続中のキャンペーンで用いられている多層的なアンチ解析技術に対して、堅牢なエンドポイント検出を実装する必要があります。

翻訳元: https://gbhackers.com/fake-game-updates/

ソース: gbhackers.com
#itch.io マルウェア #Lumma Stealer #nexe コンパイル #Node.js マルウェア #Patreon 悪用 #アンチ解析技術 #ゲームアップデートを装った攻撃 #サイバー犯罪キャンペーン #仮想環境検出 #情報窃取型マルウェア

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚