YouTube 危険動画で RedLine Stealer ウイルス感染 2022

安全と思われがちな動画サイト YouTube （ユーチューブ）に投稿されている不正な詐欺動画へ無警戒なユーザーをおびき寄せて、危険なコンピュータウイルス「RedLine Stealer」に感染させるサイバー攻撃が確認されている。

YouTube に危険動画
クラックやチートツールに偽装
RedLine Stealer ウイルスとは

YouTube にウイルス感染を狙った危険動画

ユーザーが YouTube の動画をブラウザ上で再生して視聴する分には別に危険性は低く問題はない。

× YouTube 見ただけでウイルス感染

問題の攻撃は、映像の下にある 説明文 のところにコンピュータウイルスをダウンロードさせる URL を提示しておき、動画の内容を真に受けて周りが見えなくなり突き進むユーザーにクリックを誘う手口になっている。

■ 攻撃を阻止させない詐欺師の対策

そもそも YouTube にコンピュータウイルスを投稿することは実現不可能であり、狡猾な詐欺師は外部サーバーに不正なファイルをアップロードしておいて、その URL から手動ダウンロードさせるトラップを仕掛けている。

ウイルス感染経路
コンピュータウイルスを配布する最初の入り口に YouTube が悪用されている
→ セキュリティ製品は有名な youtube.com ドメインに警告を出しようがない
ウイルス置き場
コンピュータウイルスを置いておく外部サーバーも正規サービスが悪用されている
海外企業の運営するオンラインストレージ「discordapp.com」「github.com」「medifire.com」「mega.nz」など
→ セキュリティ製品は誤検知を避けようと正当なドメインに警告を出さない傾向が目立つ
ウイルス配布ファイル
ダウンロードされるファイルは ”パスワード付き” の圧縮ファイル
→ パスワードで保護されたファイルをセキュリティ製品はスキャンできない

そのため、セキュリティ侵害を低減させる事前予防的な対策 ―― 「ここから先は危険だから先へ進まないで！」「このファイルは危険そうだからダウンロードしてはダメ！」のような警告メッセージでユーザーを踏みとどませることが難しい状況に陥っている。

誰からも妨害されずにユーザーの眼前までコンピュータウイルスを確実に持っていく体制を詐欺師が構築できていて、Windows PC でコンピュータウイルスを呆気なく踏む抜くところまで突っ走るユーザーさんが出現してしまう。

コンピュータウイルスを含む圧縮ファイル
… ZIP 形式または RAR 形式
コンピュータウイルスの形式
… EXE 形式 ← 圧縮ファイルの解凍後

クラックやチートツールに偽装してウイルス配布

それでも、未知のファイルをホイホイとダウンロードする危険なユーザーたちが出現する理由はなぜ？

その答えは、少なからずダウンロードの需要が存在する「クラック」（有償製品の無料ダウンロード）や「チートツール」「ハック」（ゲームを有利にするツール）などにファイルを偽装させておく手段が採用されている。

結局、YouTube 動画の情報から ”有益なプログラム” を手に入れたはずが、普通に騙されて危険な「RedLine Stealer」ウイルスの実行ファイルをダウンロードしている自業自得パターンである。

■ ゲーマーを欺く場面で使われた危険コンテンツ

たとえば、日本も含む世界的に人気のゲームは、不正行為に手を染めようと企てる悪質なゲーマーを釣り上げる美味しいエサ（まき餌）として使われている。

次のイメージ画像は YouTube の危険動画から誘導された不正なダウンロードページに掲載されていたコンテンツ例である。

対戦型ゲームの「チートツール」偽装例

有名ゲームの「ハック」「クラック」「MOD」偽装例

【YouTube で案内される危険な誘導メッセージ例】
BBHACK.EXE BB HACK NEW PRIVAT FRT HACK FORTNITE HACK Free Download CATEGORIES: 1)Aim - Options related to aim like aimbot or silent aim 2)Visuals - Options related to visuals like ESP 3)Radar - Options related to radar, which is a little map in a corner where you can see enemies 4)Misc - Other options that don't fit the other categories INFO 1) Run the file "BBHACK.EXE" 2) If your system meets the system requirements, the installer will open.

FORTNITE Hack_Menu in 2022 | Chapter 3 Fortnite Hack LOADER v2.1 + Skin Swapper - Working in 2022 FREE: Aimbot, Visuals, Misc, Loot [Undetected] FEATURES Aimbot: Soft Aim Aimbot (Hard lock) Memory Aimbot Silent Aimbot Visible Check Aim Key Aim Fov Aim Distance Aim Smooth Visuals: Show Enemies Show Friends Show Bot Show Boss Show Traps Skeleton 3D Box Box Type Laser Snapline Draw Circle Crosshair 2D Radar Misc: FOV Changer Crosshair Size Aimbot

GTA 5 Online MOD-MENU + Money Drop (Undetected) Best MOD-MENU for GTA 5 Online [1.58] WORKING for Epic Games, Steam & SC HOW TO USE - Download the menu - Start GTA5 and wait until the game has fully loaded - Start the mod - Read the disclaimer, and press OK - Default keys include: ＜F5＞ to show/hide the menu CHANGELOG v4.1.0 - February, 2022 - Update for Tuner DLC - [Player] Add Aqualung - [Services] Removed money drop (patched in the new DLC). - [Services] Removed Increase Daily Limit, not sure if it's still safe. - [Hotkeys] Fix "ToggleAssistedAim" action. - Add Lua scripting

Vape V4.05 [CRACKED] | Best Client for Minecraft 1.8.9 Vape V4.05 Cracked - Latest version [1.7.10 / 1.8.9 / 1.12.2] Thanks to your support the project has been operating since 2019 Your attention crack version of the popular private hack vape client on Minecraft. To date, this hack is the best among other free hacks on Minecraft. All functions that are highlighted in white work to this day, and many servers MINECRAFT has not yet blocked for the use of this hack, so the chance to get banned for this cheat is very low, play for fun and surpass other players on many criteria. Hurry up to download this hack while it works. At the moment, the cheat is relevant only for Minecraft servers on versions 1.7.10 / 1.8.9 / 1.12.2 Vape v4 Pro was cracked, but it was patched by developers

Fortnite Public Cheat | StormWare v1.24 Download Links: StormWare FN Soft Aim (Public) FN Apple Spoofer.rar Updates: UPD | Working for Chapter 3 StormWare PUBLIC 1.24: added "Silent Aimbot" [suggested] - added "Self ESP" [suggested] - fixed some missed options - fixed some crashes - fixed ESP distanse How to use: 1. Run stormware.exe when you in game lobby 2. Cheat will be injected automatically. Menu on "Insert" key. Please set fn as 1920x1080 full windows borderless. Working with latest update Have fun!

・ YouTube に危険なウイルス動画！チートツールやクラックに偽装

RedLine Stealer ウイルスとは

YouTube の危険動画が大きな 1 つの感染経路になっていて、Windows パソコンを動作環境とする危険なウイルス「RedLine Stealer」に感染したらどうなるのか？

実装されている様々な機能の一部をピックアップする。

■ Windows ブラウザの認証情報を盗む

「Google Chrome」「Microsoft Edge」ブラウザの窃取対象は、フォームの自動入力機能で保存させている情報（ユーザー名とパスワード、個人情報とクレジットカード情報）、Cookie ファイルです。

「Mozilla Firefox」ブラウザの窃取対象は Cookie ファイルです。

ユーザー名とパスワード
各種ウェブサービスのログイン情報で、保存しないよう設定できるもののデフォルトで有効になっている
フォームの自動入力
ショッピングサイトなどの住所や支払い情報で、保存しないよう設定できるもののデフォルトで有効になっている
Cookie ファイル
本人確認の認証データで、追加のセキュリティ保護層となる二段階認証システムを突破されるリスク

「RedLine Stealer」ウイルスの感染をキッカケに、これらの情報がゴッソリ盗まれると、ブラウザでログインしてあった様々なウェブサービスへ第三者が不正アクセスするハッキング被害が連鎖的に発生する危険性がある。

○ Twitter、Instagram のアカウントを乗っ取られる → 仮想通貨がテーマのスパムメッセージを大量に投稿する

○ Google アカウントが二段階認証システムを華麗に迂回されて乗っ取られる → 自分の YouTube チャンネルに不正な動画（外国人男性がライブ配信で仮想通貨に投資を促す詐欺動画、クラックやチートツールを案内する違法動画）が投稿される → 規約違反で YouTube チャンネル凍結

・ YouTube 乗っ取り確認！危険動画の例 2 つ

■ Discord クライアントのアカウント情報を盗む

Windows 版 Discord クライアントに保存されている Discord 認証トークンのデータごと盗まれて二段階認証を突破が実現される。

詐欺師は自分のアカウントでフレンド全員宛てに詐欺のスパムメッセージをバラ撒き、成りすましに気づかないユーザーは、知り合いからのメッセージを疑わずに信じてしまい展開だ。

■ Valve Steam クライアントのアカウント情報を盗む

Windows 版クライアント Steam で追加のセキュリティ保護層「Steam ガード」の認証処理用の設定ファイルごと盗まれる。

自分のアカウントで購入済みのゲームを勝手にプレイされてしまう、新規ゲームを勝手に決済されて購入されてしまう、Steam のチャット機能で全方位に詐欺のスパムメッセージをバラ撒く。

■ 暗号資産（仮想通貨）のウォレットを盗む

Windows 版デスクトップウォレットが保存する「wallet.dat」ファイルや、Chrome 拡張機能として提供されているウォレットアプリ（MetaMask など 30 種類）のデータを盗まれる。

自分が保有している暗号資産が見知らぬウォレットのアドレスへ勝手に送金されるハッキング被害が起こる。

・ RedLine Stealer ウイルスとは？機能と感染経路

セキュリティ会社の関連記事

Self-spreading stealer attacks gamers via YouTube (Kaspersky)
最近、一風変わった悪意のあるバンドル（単一のインストールファイル、自己解凍型の圧縮アーカイブ、インストーラー機能を持ち、他のファイル形式で配布される悪意のあるプログラムのコレクション）が目に留まった。その主要なペイロードは、汎用の RedLine Stealer である。2020 年 3 月に発見された RedLine Stealer は、現在、ブラウザ、FTP ソフト、デスクトップメッセンジャーからパスワードや認証情報を盗むために使われる最も一般的なトロイの木馬の 1 つである。地下のハッカーフォーラムでは、マルウェアとしては比較的安価な数百ドルで公然と入手できる。
このマルウェアは、Chromium や Gecko ベースのブラウザからユーザー名、パスワード、Cookie、クレジットカード情報、自動入力のデータ、暗号資産ウォレット、インスタントメッセンジャー、FTP / SSH / VPN クライアントからのデータを盗み、さらに端末から特定の拡張子を持ったファイルをピックアップして盗むことができる。さらに、RedLine Stealer は別のプログラムをダウンロードして実行したり、cmd.exe コマンドを実行したり、デフォルトのブラウザでリンクを開くこともできる。
発見したバンドルは、ペイロードそのものに加えて自己増殖機能を備えていることが注目される。この機能を複数のファイルが担当しており、パスワードで保護された圧縮ファイルへのリンクとともに説明文にバンドルを含む感染ユーザーから動画を受信して YouTube チャンネルに投稿する。動画はチートやクラックを宣伝し、人気のあるゲームやソフトウェアのハッキング方法を紹介する。紹介されているゲームには、「APB Reloaded」「Cross Fire」「DayZ」「Dying Light 2」「F1 22」「Farming Simulator」「Farthest Frontier」「FIFA 22」「Final Fantasy XIV」「Forza」「Lego Star Wars」「osu!」「POINT BLANK」「Project Zomboid」「Rust」「Sniper Elite」「Spider-Man」「Stray」「Thymesia」「VRChat」「Walken」が含まれている。Google によれば、ハッキングされたチャンネルは同社のコミュニティ・ガイドラインに違反していたため、すぐに凍結されたとのことだ。
https://securelist.com/self-spreading-stealer-attacks-gamers-via-youtube/107407/

Infostealer Being Distributed via YouTube （AhnLab）
最近、AhnLab セキュリティ対応センターの分析チームは、YouTube 経由で配布されている情報窃取型マルウェア Infostealer を発見した。攻撃者はマルウェアをゲーム「VALORANT」のハックに偽装して、マルウェアのダウンロードリンクとともに動画を投稿し、セキュリティソフトを無効化するよう誘導している。
ダウンロードした圧縮ファイル「Pluto Valornt cheat.rar」には、「Cheat installer.exe」という名前の実行ファイルが含まれている。そのファイル名からゲームのハックのように見えるが、実際には情報窃盗型マルウェア Infostealer である。
マルウェアが実行されると、感染したシステムの基本情報に加えて、スクリーンショット画像、ブラウザや VPN ソフトに保存されたユーザーアカウントの認証情報、暗号資産ウォレットのファイル、Discord のトークン、Telegram のセッションファイルなど、様々なユーザー認証情報を収集される。
https://asec.ahnlab.com/en/32499/