あなたが脅威アクターで、暗号通貨をマイニングしたり、重要な情報を盗もうとしている場合、ゲーマーの PC は、使用しているハードウェアとソフトウェアを考慮すると、その種の攻撃の格好の標的となります。 さらに良いことに、詐欺師の PC は、そもそも大ざっぱなソフトウェアをダウンロードすることに慣れているため、マルウェアを忍び込ませる障壁が低くなります。 これは、チーターが決して繁栄しないという格言に付け加えることの 1 つであり、これは、ゲーム チート ユーティリティにパッケージ化されている情報を盗むマルウェアが最近発見されたことで証明されています。
今週初め、McAfee の研究者は、米国、メキシコ、その他世界中で非常に蔓延している Redline Stealer トロイの木馬のパックされた亜種を発見しました。 このマルウェアは Cheat.Lab.2.7.2.zip というファイル内に含まれており、解凍すると同じ名前の MSI インストーラーが含まれます。 この MSI インストーラーには、2 つの実行可能ファイルと、実際に Lua バイトコードを含む「テキスト ファイル」が含まれています。このテキスト ファイルは、軽量プログラミング言語である Lua プロジェクトからの他の 2 つの実行可能ファイルによってコンパイルおよび実行されます。
Advertisement
MSI を実行すると、Cheat Lab をインストールするためのユーザー インターフェイスも実行され、ユーザーはソフトウェアを友人に送信するよう求められます。 それは面白いことですが、マルウェアはいくつかのファイルをディスクにドロップし、永続性を設定します。 これが完了すると、マルウェアは Redline C2 ネットワークに接続し、HTTP 経由で通信を開始します。 研究者の場合、マルウェアがスクリーンショットを取得しようとしていることがわかりましたが、マルウェアの機能はそれだけに限定されません。
何が面白いのか これすべて それは、このマルウェアが vcpkg の下の Microsoft の公式 GitHub アカウントに存在していたことです。 ありがたいことに、それはその後リポジトリから削除されましたが、そもそもどのようにしてリポジトリに到達したのかを知ることは興味深いでしょう。 ただし、これらの詳細は調査では入手できません。 いずれにせよ、これらすべては、詐欺師が決して繁栄しないこと、そしていつマルウェアをダウンロードするかわからないことを示しています。