雑記 > RedLine Stealer ウイルス

YouTube 危険動画で RedLine Stealer ウイルス感染 2022

安全と思われがちな動画サイト YouTube (ユーチューブ) に投稿されている不正な詐欺動画へ無警戒なユーザーをおびき寄せて、危険なコンピュータウイルス 「RedLine Stealer」 に感染させるサイバー攻撃が確認されている。

  1. YouTube に危険動画
  2. クラックやチートツールに偽装
  3. RedLine Stealer ウイルスとは

YouTube にウイルス感染を狙った危険動画

ユーザーが YouTube の動画をブラウザ上で再生して視聴する分には別に危険性は低く問題はない。

× YouTube 見ただけでウイルス感染

問題の攻撃は、映像の下にある 説明文 のところにコンピュータウイルスをダウンロードさせる URL を提示しておき、動画の内容を真に受けて周りが見えなくなり突き進むユーザーにクリックを誘う手口になっている。

攻撃を阻止させない詐欺師の対策

そもそも YouTube にコンピュータウイルスを投稿することは実現不可能であり、狡猾な詐欺師は外部サーバーに不正なファイルをアップロードしておいて、その URL から手動ダウンロードさせるトラップを仕掛けている。

そのため、セキュリティ侵害を低減させる事前予防的な対策 ―― 「ここから先は危険だから先へ進まないで!」 「このファイルは危険そうだからダウンロードしてはダメ!」 のような警告メッセージでユーザーを踏みとどませることが難しい状況に陥っている。

誰からも妨害されずにユーザーの眼前までコンピュータウイルスを確実に持っていく体制を詐欺師が構築できていて、Windows PC でコンピュータウイルスを呆気なく踏む抜くところまで突っ走るユーザーさんが出現してしまう。

クラックやチートツールに偽装してウイルス配布

それでも、未知のファイルをホイホイとダウンロードする危険なユーザーたちが出現する理由はなぜ?

その答えは、少なからずダウンロードの需要が存在する 「クラック」 (有償製品の無料ダウンロード) や 「チートツール」 「ハック」 (ゲームを有利にするツール) などにファイルを偽装させておく手段が採用されている。

結局、YouTube 動画の情報から ”有益なプログラム” を手に入れたはずが、普通に騙されて危険な 「RedLine Stealer」 ウイルスの実行ファイルをダウンロードしている自業自得パターンである。

ゲーマーを欺く場面で使われた危険コンテンツ

たとえば、日本も含む世界的に人気のゲームは、不正行為に手を染めようと企てる悪質なゲーマーを釣り上げる美味しいエサ (まき餌) として使われている。

次のイメージ画像は YouTube の危険動画から誘導された不正なダウンロードページに掲載されていたコンテンツ例である。


対戦型ゲームの 「チートツール」 偽装例


有名ゲームの 「ハック」 「クラック」 「MOD」 偽装例

YouTube に危険なウイルス動画! チートツールやクラックに偽装

RedLine Stealer ウイルスとは

YouTube の危険動画が大きな 1 つの感染経路になっていて、Windows パソコンを動作環境とする危険なウイルス 「RedLine Stealer」 に感染したらどうなるのか?

実装されている様々な機能の一部をピックアップする。

Windows ブラウザの認証情報を盗む

「Google Chrome」 「Microsoft Edge」 ブラウザの窃取対象は、フォームの自動入力機能で保存させている情報 (ユーザー名とパスワード、個人情報とクレジットカード情報)、Cookie ファイルです。

「Mozilla Firefox」 ブラウザの窃取対象は Cookie ファイルです。

RedLine Stealer」 ウイルスの感染をキッカケに、これらの情報がゴッソリ盗まれると、ブラウザでログインしてあった様々なウェブサービスへ第三者が不正アクセスするハッキング被害が連鎖的に発生する危険性がある。

○ Twitter、Instagram のアカウントを乗っ取られる → 仮想通貨がテーマのスパムメッセージを大量に投稿する

○ Google アカウントが二段階認証システムを華麗に迂回されて乗っ取られる → 自分の YouTube チャンネルに不正な動画 (外国人男性がライブ配信で仮想通貨に投資を促す詐欺動画、クラックやチートツールを案内する違法動画) が投稿される → 規約違反で YouTube チャンネル凍結

YouTube 乗っ取り確認! 危険動画の例 2 つ

Discord クライアントのアカウント情報を盗む

Windows 版 Discord クライアントに保存されている Discord 認証トークンのデータごと盗まれて二段階認証を突破が実現される。

詐欺師は自分のアカウントでフレンド全員宛てに詐欺のスパムメッセージをバラ撒き、成りすましに気づかないユーザーは、知り合いからのメッセージを疑わずに信じてしまい展開だ。

Valve Steam クライアントのアカウント情報を盗む

Windows 版クライアント Steam で追加のセキュリティ保護層 「Steam ガード」 の認証処理用の設定ファイルごと盗まれる。

自分のアカウントで購入済みのゲームを勝手にプレイされてしまう、新規ゲームを勝手に決済されて購入されてしまう、Steam のチャット機能で全方位に詐欺のスパムメッセージをバラ撒く。

暗号資産 (仮想通貨) のウォレットを盗む

Windows 版デスクトップウォレットが保存する 「wallet.dat」 ファイルや、Chrome 拡張機能として提供されているウォレットアプリ (MetaMask など 30 種類) のデータを盗まれる。

自分が保有している暗号資産が見知らぬウォレットのアドレスへ勝手に送金されるハッキング被害が起こる。

RedLine Stealer ウイルスとは? 機能と感染経路

セキュリティ会社の関連記事

Self-spreading stealer attacks gamers via YouTube (Kaspersky)
最近、一風変わった悪意のあるバンドル (単一のインストールファイル、自己解凍型の圧縮アーカイブ、インストーラー機能を持ち、他のファイル形式で配布される悪意のあるプログラムのコレクション) が目に留まった。その主要なペイロードは、汎用の RedLine Stealer である。2020 年 3 月に発見された RedLine Stealer は、現在、ブラウザ、FTP ソフト、デスクトップ メッセンジャーからパスワードや認証情報を盗むために使われる最も一般的なトロイの木馬の 1 つである。地下のハッカーフォーラムでは、マルウェアとしては比較的安価な数百ドルで公然と入手できる。
このマルウェアは、Chromium や Gecko ベースのブラウザからユーザー名、パスワード、Cookie、クレジットカード情報、自動入力のデータ、暗号資産ウォレット、インスタント メッセンジャー、FTP / SSH / VPN クライアントからのデータを盗み、さらに端末から特定の拡張子を持ったファイルをピックアップして盗むことができる。さらに、RedLine Stealer は別のプログラムをダウンロードして実行したり、cmd.exe コマンドを実行したり、デフォルトのブラウザでリンクを開くこともできる。
発見したバンドルは、ペイロードそのものに加えて自己増殖機能を備えていることが注目される。この機能を複数のファイルが担当しており、パスワードで保護された圧縮ファイルへのリンクとともに説明文にバンドルを含む感染ユーザーから動画を受信して YouTube チャンネルに投稿する。動画はチートやクラックを宣伝し、人気のあるゲームやソフトウェアのハッキング方法を紹介する。紹介されているゲームには、「APB Reloaded」 「Cross Fire」 「DayZ」 「Dying Light 2」 「F1 22」 「Farming Simulator」 「Farthest Frontier」 「FIFA 22」 「Final Fantasy XIV」 「Forza」 「Lego Star Wars」 「osu!」 「POINT BLANK」 「Project Zomboid」 「Rust」 「Sniper Elite」 「Spider-Man」 「Stray」 「Thymesia」 「VRChat」 「Walken」 が含まれている。Google によれば、ハッキングされたチャンネルは同社のコミュニティ・ガイドラインに違反していたため、すぐに凍結されたとのことだ。
https://securelist.com/self-spreading-stealer-attacks-gamers-via-youtube/107407/

Infostealer Being Distributed via YouTube (AhnLab)
最近、AhnLab セキュリティ対応センターの分析チームは、YouTube 経由で配布されている情報窃取型マルウェア Infostealer を発見した。攻撃者はマルウェアをゲーム 「VALORANT」 のハックに偽装して、マルウェアのダウンロードリンクとともに動画を投稿し、セキュリティソフトを無効化するよう誘導している。
ダウンロードした圧縮ファイル 「Pluto Valornt cheat.rar」 には、「Cheat installer.exe」という名前の実行ファイルが含まれている。そのファイル名からゲームのハックのように見えるが、実際には情報窃盗型マルウェア Infostealer である。
マルウェアが実行されると、感染したシステムの基本情報に加えて、スクリーンショット画像、ブラウザや VPN ソフトに保存されたユーザーアカウントの認証情報、暗号資産ウォレットのファイル、Discord のトークン、Telegram のセッション ファイルなど、様々なユーザー認証情報を収集される。
https://asec.ahnlab.com/en/32499/

関連ワード忘備録
[YouTube ウイルス感染] [RedLine Stealer とは] [ウイルス 感染経路] [YouTube 危険] [YouTube 乗っ取り 確認方法] …

= Windowsパソコンのウイルス&セキュリティ関連 =
危険なファイルの拡張子 | 無料オンラインウイルススキャン

雑記 > RedLine Stealer ウイルス


Copyright © Let's Emu!. All rights reserved.