サイバーセキュリティ研究者は、オンラインで無料のゲームチートを検索するゲーマーを標的とした複数のマルウェアキャンペーンを発見しました。
これらの攻撃は、GitHub や Reddit などのプラットフォームで宣伝されている偽のチートツールを通じて、強力な情報盗聴マルウェアである Vidar Stealer 2.0 を配布しています。
このキャンペーンは、Counter-Strike、Valorant、Fortnite、Call of Duty などの人気のある競技ゲームのプレイヤーを特に標的としています。
攻撃者は、エイムボット、ウォールハック、トリガーボットなど、不正な利点をもたらすチートの需要を悪用しています。無料のチートツールを約束することで、サイバー犯罪者は被害者をだまして、最終的にシステムから機密情報を盗む悪質なファイルをダウンロードさせています。
セキュリティ研究者は、偽のチートソフトウェアへのリンクをホストしている数百の GitHub ページとリポジトリを発見しました。
これらのページの多くは一見すると合法的に見え、チートをインストールするための説明が含まれていることが多いです。場合によっては、リポジトリはランディングページのみをホストし、ユーザーを攻撃者が管理する外部ダウンロードサイトにリダイレクトします。
攻撃は通常、Reddit コミュニティ、Discord チャネル、またはゲーミングフォーラムへの投稿で始まります。ここでユーザーは「無料」のチートツールへのリンクを共有しています。リンクをクリックした被害者は、悪質なダウンロードをホストしている GitHub ページまたはウェブサイトに誘導されます。
ファイルは通常、TempSpoofer.exe、Monotone.exe、CFXBypass.exe などの名前で偽装されており、ゲーム禁止またはハードウェア識別システムをバイパスするように設計されたツールに見えます。
しかし、分析により、これらのファイルは実際には PowerShell ベースのローダーが .NET 実行可能ファイルにコンパイルされたものであることが明らかになりました。
ローダーは Pastebin リンクに連絡して、GitHub でホストされている2 段階目のペイロードを取得します。ファイルをダウンロードした後、マルウェアは %AppData% フォルダにランダムに名付けられたディレクトリを作成し、ファイルを非表示にして、最終的なペイロードを実行します。
Vidar Stealer は、2018 年から活動している有名な情報盗聴マルウェアファミリーです。新しく更新された Vidar 2.0 バージョンは、改善されたパフォーマンス、マルチスレッド、およびより強力なアンチ分析機能を含みます。
このマルウェアはスクリーンショットをキャプチャし、Discord や Telegram などのメッセージングアプリケーションからトークンを抽出することもできます。
研究者は、Vidar キャンペーンの増加は、Lumma や Rhadamanthys などの他の人気のあるスティーラーを混乱させた最近の法執行行動が一因だと考えています。
これらの活動が弱まると、サイバー犯罪者は認証情報盗聴の代替ツールとして Vidar にシフトしています。
セキュリティ専門家は、非公式ソースからソフトウェアをダウンロードすること、特にチートツールをダウンロードすることは、マルウェア感染のリスクを大幅に増加させると警告しています。
ゲーマーは、チートをダウンロードすることを避け、信頼できるプラットフォームとセキュリティソフトウェアのみに頼ってシステムを保護することをお勧めします。
翻訳元: https://cyberpress.org/fake-cheats-spread-vidar/