Malwarebytesは1月3日(米国時間)、「“Can you try a game I made?” Fake game sites lead to information stealers|Malwarebytes」において、開発中ゲームのテスト参加を呼びかけてマルウェアを配布するサイバー攻撃キャンペーンに対し、注意を喚起した。

  • “Can you try a game I made?” Fake game sites lead to information stealers|Malwarebytes

    “Can you try a game I made?” Fake game sites lead to information stealers|Malwarebytes

侵害経路

キャンペーンの初期の侵害経路はDiscordのダイレクトメッセージとみられる。攻撃者はゲーム開発者を装い、開発中のゲームに興味がないかどうかを尋ねる。対象者が興味を示すと、ゲームにテスト参加できるとして悪意のあるアーカイブファイルのダウンロードリンクとパスワードを送信する。

Malwarebytesによると、配布されるアーカイブファイルにはさまざまなバリエーションがあるという。ファイルの共通点は情報窃取マルウェアが含まれており、インストールすると認証情報(多要素認証バックアップコードを含む)、WebブラウザのCookie情報、自動入力データ、暗号資産ウォレットに関連した情報などが窃取される。

攻撃者はDiscordの認証情報も積極的に窃取する。この認証情報を悪用して被害者になりすまし、被害者の友人にも攻撃を行う。

対策

Malwarebytesは攻撃に用いられた偽ゲームサイトとブログサイトの一例を公開している。これらWebサイトは削除要請にほぼ応じないWebサービスにホストされ、さらにCloudflareを使用していることからセキュリティ研究者による削除は困難とされる。

  • 悪意のある偽ゲームサイトの例 - 引用:Malwarebytes

    悪意のある偽ゲームサイトの例 引用:Malwarebytes

  • 悪意のある偽ブログサイトの例 - 引用:Malwarebytes

    悪意のある偽ブログサイトの例 引用:Malwarebytes

Malwarebytesは同様の攻撃を回避するため、次の対策の実施を推奨している。

  • 信頼できるセキュリティソリューションを導入する
  • 友人からの招待は、毎回必ず別の通信手段を使用して本人に確認する
  • ダウンロードまたはインストールを要求する一方的なメッセージやメールには応じない

悪意のあるWebサイトはWebブラウザ保護機能を搭載したアンチウイルスソフトウェアや、セキュリティ企業の拡張機能を導入することで回避できる可能性がある。拡張機能の中には無料で提供されている製品もあり、対策を実施していないユーザーには導入の検討が望まれている。