「無料ゲームチート」を提供しているように見える数百のGitHubリポジトリがVidarインフォスティーラーを含むマルウェアを配信していることが、Acronis Threat Research Unit (TRU)の調査で判明しました。
特定された悪質なリポジトリが「実質的にあらゆる主要なオンラインゲームタイトル」をターゲットにしている一方で、セキュリティ研究者たちは実際の数は「数千に上る可能性がある」と推定していると、3月17日に公開されたレポートで警告しています。
また、Counter-Strike 2用のゲームチートについて言及・宣伝するRedditの投稿を発見し、それがユーザーにVidar 2.0をダウンロード・インストールするよう促す偽のウェブサイトにつながっていました。
Acronis TRUによると、インフォスティーラーを配信するキャンペーンは、典型的なチートキャンペーンのほとんどと同様に、特定のオンラインゲームでのチート専用のDiscordチャットルームまたはRedditコミュニティで開始されるとのことです。
「最も単純な形では、キャンペーンは『無料』チートツールのオファーとして展開される」と研究者たちは述べています。
ターゲットユーザーは正規チャネル外で動作するソフトウェアを自発的に探しているため「完璧な被害者」となります。そのため、彼らはセキュリティ警告をトリガーする可能性のある動作を期待し、疑わしいアクティビティを当局に報告しないよう強く動機付けられています。
さらに、研究者たちは、チートは通常深いシステムアクセスを必要とするため、悪意のある行為者がユーザーを従来の防御をバイパスするマルウェアのインストールに誘い込むことがより簡単になると指摘しています。
GitHubリポジトリの配信チェーン
研究者たちが特定した複数の偽のGitHubリポジトリは、ゲームチートまたはハードウェアID禁止バイパスソフトウェアに偽装したVidar 2.0インフォスティーラーの亜種を配信しています。
このキャンペーンでは、被害者をTempSpoofer.exe、Monotone.exeまたはCFXBypass.exeという名前のソフトウェアのダウンロードに誘い込みます。
ゲームチートに偽装されたこれらのファーストステージペイロードは、PS2EXEを使用して.NET実行ファイルにコンパイルされたPowerShellスクリプトであり、基本的なスクリプトベースの検出をバイパスしながら正規のアプリケーションとして表示されます。
PowerShellローダーは次に、多段階の感染プロセスを実行します:
- Defender回避:攻撃者が制御するディレクトリのWindows Defenderに除外を追加し、後続の悪質なペイロードのスキャンを防止します
- コマンドアンドコントロール(C2)通信:ハードコードされたPastebinリンクからセカンダリペイロードURLを取得し、GitHubホストの実行ファイルを指します
- ペイロード配信:%AppDataに隠しディレクトリを作成し、Defenderの除外リストに追加し、background.exe(Themidaパック済みVidar Stealer 2.0)をダウンロードします。
- 実行と権限昇格:ファイルの整合性を検証(MZヘッダーチェック)し、ユーザーから隠し、runasを介して権限昇格を試みます
- 永続性:ログオン時に昇格された権限で実行するスケジュール済みタスク(SystemBackgroundUpdate)を確立します
Vidar Stealer 2.0ペイロードは次に:
- 盗まれたデータを保存するために%ProgramDataにディレクトリを作成します
- TelegramとSteamデッドドロップリゾルバーを経由してマスクされたC2サーバーにデータを流出させます(例:hxxps://telegram[.]me/bul33bt、hxxps://steamcommunity[.]com/profiles/76561198765046918)
Redditの配信チェーン
別のキャンペーンでは、攻撃者はRedditの投稿を通じてVidar 2.0を広め、偽のCounter-Strike 2ゲームチートを宣伝し、被害者をEzFrags_Private.zipを配信する悪質なウェブサイトにリダイレクトしています。
アーカイブには無効なデジタル署名を持つ自己抽出(SFX)実行ファイルが含まれており、疑わしさが生じています。
実行時に、ローダーは埋め込まれたキャビネットアーカイブを抽出し、分析を妨害するためにランダム化された変数名で難読化されたスクリプトであるPerfume.mdbを処理するコマンドを実行します。
スクリプトはディレクトリ(123043)を作成し、ファイルフラグメントを一緒に縫い合わせることで、コンパイルされたAutoItインタープリタであるTypically.comをアセンブルします。その後、複数の.mdbファイルからVidar 2.0ペイロードを構築し、AutoItを介してそれを実行します。
最終ペイロードは前のキャンペーンで見られたのと同じC2インフラストラクチャに接続し、同じ脅威アクターまたはグループが両方の操作の背後にあることを示唆しています。
Vidar 2.0:より隠密で強力なインフォスティーラー
Acronis TRUが検出したキャンペーンの真の斬新性は、Vidar 2.0の配信です。
Vidarは、ブラウザの認証情報、クッキーと自動入力データ、Azure トークン、暗号資産ウォレット、FTP/SSH認証情報、Telegram、Discordおよびローカルファイルを抽出できるインフォスティーラーです。
研究者によると、Vidar 2.0はインフォスティーラーの最初のバージョンからの重要な技術的進化を表しており、以下のような強化された機能を含みます:
- 速度を向上させ、静的検出を回避する多形的ビルドとマルチスレッド実行
- 分析を妨害する高度な難読化、デバッガー検出、タイミングチェック、仮想マシン検出
- TelegramボットとSteamプロフィールをデッドドロップリゾルバーとして使用して隠されたC2インフラストラクチャ
「これらの機能を合わせると、Vidar 2.0は強力で隠密な脅威となり、被害者が何か問題に気付く前に、そして盗まれたデータが回復または無効化される前に、その目標を達成することがよくある」と研究者たちは強調しました。
Vidar Sealerの最新バージョンは、最も著名なインフォスティーラー2つである法執行機関による措置の後、LummaおよびRhadamanthysに対する採用が増加しています。
「これは、法執行措置がどのように脅威環境を再構成するかを示しています:犯罪需要は単に移行し、防御側は警戒を怠らず、情報を得ていなければならない」と研究者たちは結論付けました。
翻訳元: https://www.infosecurity-magazine.com/news/vidar-stealer-exploits-github/
