EncryptHubと呼ばれる脅威アクターが、Steam上のゲームを改ざんし、タイトルをダウンロードしたユーザーに情報窃取型マルウェアを配布しました。
数日前、ハッカー(Larva-208としても追跡されている)は、SteamでホストされているChemiaのゲームファイルに悪意あるバイナリを注入しました。
Chemiaは開発者「Aether Forge Studios」によるサバイバルクラフトゲームで、現在Steamで早期アクセスとして提供されていますが、正式な公開日は発表されていません。
出典: BleepingComputer
タイトルChemiaに、‘Fickle Stealer’および‘HijackLoader’マルウェアも仕込まれ、タイトルをダウンロードした無防備なプレイヤーが被害に遭いました。
脅威インテリジェンス企業Prodaftによると、最初の侵害は7月22日に発生し、EncryptHubがゲームファイルにHijackLoaderマルウェア(CVKRUTNP.exe)を追加しました。このマルウェアは被害者のデバイス上で持続性を確立し、Vidarインフォスティーラー(v9d9d.exe)をダウンロードします。
研究者らは、マルウェアがTelegramチャンネルからコマンド&コントロール(C2)アドレスを取得していることを発見しました。
2つ目のマルウェアはFickle Stealerで、わずか3時間後にDLLファイル(cclib.dll)を通じてChemiaに追加されました。このファイルはPowerShell(‘worker.ps1’)を使い、soft-gets[.]comからメインのペイロードを取得します。
Fickle Stealerは、ウェブブラウザに保存されたアカウント認証情報、自動入力情報、クッキー、暗号通貨ウォレットデータなどを収集する情報窃取型マルウェアです。
EncryptHubは昨年、同じマルウェアを使って大規模なスピアフィッシングおよびソーシャルエンジニアリングキャンペーンを実施し、世界中で600以上の組織が被害を受けました。
この脅威アクターはサイバー犯罪界でも特異な存在で、Windowsのゼロデイ脆弱性の悪用と、Microsoftへの重大な脆弱性の責任ある開示の両方に関与しています。
「改ざんされた実行ファイルは、Steamからダウンロードするユーザーにとって正規のものに見えるため、従来の欺瞞的な手法ではなく、プラットフォームへの信頼に依存した効果的なソーシャルエンジニアリング要素を生み出しています」と、ProdaftがBleepingComputerに共有したレポートには記載されています。
「ユーザーが無料ゲームの中からこのゲームのPlaytestをクリックすると、実際には悪意あるソフトウェアをダウンロードしていることになります」と研究者らは述べています。
出典: Prodaft
Prodaftによれば、マルウェアはバックグラウンドで動作し、ゲームプレイのパフォーマンスには影響を与えないため、ゲーマーは侵害に気づきません。
EncryptHubがどのようにして悪意あるファイルをゲームプロジェクトに追加したのかは不明ですが、内部関係者の協力があった可能性もあります。ゲーム開発者は、SteamページやSNSで公式声明を発表していません。
BleepingComputerはChemiaおよびValve双方にコメントを求めて連絡しており、回答があり次第本記事を更新します。
その間もゲームはSteamで入手可能なままで、最新バージョンがマルウェアに感染していないか、依然として危険かは不明です。Steamから公式発表があるまでは、完全に利用を避けるのが賢明でしょう。
今年、Steamでマルウェアが紛れ込んだのはこれが3件目です。前回は3月の『Sniper: Phantom’s Resolution』、2月の『PirateFi』でした。
いずれも早期アクセスゲームで、安定版リリースではなかったことから、Steamによる審査が緩い可能性が示唆されます。そのため、「開発中」のタイトルをダウンロードする際は注意が必要です。
今回のEncryptHub攻撃に関する侵害指標(IoC)はこちらで公開されています。
クラウド検知&レスポンス入門
新たな脅威をリアルタイムで封じ込め、ビジネスへの影響を未然に防ぎます。
クラウド検知&レスポンス(CDR)がセキュリティチームにもたらす優位性を、この実践的かつ分かりやすいガイドで学びましょう。