Kaspersky Labはこのほど、「New Arcane stealer spreading via YouTube and Discord|Securelist」において、YouTubeを悪用してマルウェアを配布するキャンペーンを発見したと伝えた。

攻撃者はゲームの裏技としてマルウェアを配布し、あらゆる種類の認証情報を窃取したとみられる。

  • New Arcane stealer spreading via YouTube and Discord|Securelist

    New Arcane stealer spreading via YouTube and Discord|Securelist

侵害経路

Kaspersky Labによると、このキャンペーンではYouTubeでゲームの裏技を紹介すると偽ってユーザーを惹き付け、悪意のあるアーカイブファイルのダウンロードを誘ったという。このアーカイブファイルにはバッチファイル「start.bat」および「UnRAR.exe」を必ず含む特徴があるという。

被害者がバッチファイルを実行すると、暗号化された追加のアーカイブファイルがダウンロードされる。次に、バッチファイルはアーカイブファイルからマルウェアを展開・実行する。

このとき、すべてのドライブのルートフォルダ(最上位フォルダ)をSmartScreenフィルターの例外に追加し、レジストリを操作してSmartScreenを完全に無効化することも確認されている。

実行されるマルウェアはコインマイナーおよび情報窃取マルウェア「Arcane」とみられる。分析により判明したArcaneの基本機能は次のとおり。

  • システム関連情報の窃取
  • ネットワーク関連情報の窃取
  • Webブラウザから認証情報およびクレジットカード情報を窃取
  • VPNクライアントアプリから設定、認証情報を窃取
  • ネットワーク関連アプリから設定、認証情報を窃取
  • メッセージアプリから設定、認証情報を窃取
  • Outlookの設定、認証情報を窃取
  • ゲームアプリから設定、認証情報を窃取
  • 暗号資産ウォレットから設定、認証情報を窃取
  • スクリーンショットの窃取
  • 侵害経路 - 引用:Kaspersky Lab

    侵害経路 引用:Kaspersky Lab

攻撃が進化、対策は

Kaspersky Labは2024年11月ごろから本キャンペーンを追跡している。その分析中、攻撃者は裏技動画の宣伝からゲームのクラック(不正な改造)ツールの宣伝動画に切り替えたという。このクラックツールにはマルウェアローダー「ArcanaLoader」が含まれており、実行するとArcaneに感染することが確認されている。

攻撃者はYouTube動画をロシア語で説明している。そのため、主な標的はロシア語圏のユーザーとみられている。また、配布されたマルウェアは定期的な変更が確認されており、攻撃は進行中の可能性がある。

このような攻撃を回避するため、YouTubeユーザーには動画の内容にかかわらず不審なソフトウェアをダウンロードしないことが推奨されている。また、Kaspersky Labは進化を続けるマルウェアを回避するため、強力なセキュリティソリューションの導入を推奨している。