Check Point Software Technologiesは6月18日(米国時間)、「Minecraft Players Targeted in Sophisticated Malware Campaign - Check Point Blog」において、大人気のサンドボックスゲーム「Minecraft」のプレーヤーを標的にするサイバー攻撃のキャンペーンを発見したと報じた。

攻撃者はGitHubから偽の改変ツール(MOD: modification)を配布し、プレーヤーを情報窃取マルウェアに感染させたという。

  • Minecraft Players Targeted in Sophisticated Malware Campaign - Check Point Blog

    Minecraft Players Targeted in Sophisticated Malware Campaign - Check Point Blog

侵害経路

Check Pointの調査によると、このキャンペーンでは「Stargazers Ghost Network」と呼ばれる違法サービスが使用されたという。このサービスはディストリビューション・アズ・ア・サービス(DaaS: Distribution-as-a-Service)として提供されており、数千ものGitHubアカウントを使用して高評価の悪意のあるリポジトリ構築を支援する。

今回のキャンペーンでは、既存MODの「Oringo」と「Taunahi」、その他のMOD、自動化ツールなどになりすましたリポジトリが構築された。いずれも複数アカウントからスターが付けられ、偽の正当性を作り出していたとされる。

これらリポジトリからは、Java言語にて開発されたマルウェアローダーを含むMODやツールが配布された。このマルウェアローダーはVirusTotalの評価対象となっているセキュリティソリューションの検出をすべて回避可能とされる。

被害者がこれらリポジトリーからMODやツールをダウンロードして使用(ゲームを起動)すると、最初にサンドボックスや分析ツールの検出が実行され、セキュリティ研究者による分析が妨害される。次に後続のペイロードのダウンロードと実行を2度繰り返し、最後に情報窃取マルウェアを実行する。

  • 侵害経路 - 引用:Check Point

    侵害経路 - 引用:Check Point

マルウェアに窃取される恐れがある情報

最終的に実行される情報窃取マルウェアには、次の情報を窃取する機能があるとされる。

  • システムおよびネットワーク情報
  • Webブラウザの情報
  • デスクトップ、ドキュメント、ユーザーホームのファイル
  • 暗号資産ウォレットの情報
  • 仮想プライベートネットワーク(VPN: Virtual Private Network)アプリの情報
  • Steam、Discord、FileZilla、Telegramの情報
  • クリップボード
  • スクリーンショット

影響と対策

キャンペーンの標的となったゲームプレーヤーの約65%は21歳未満とされ、セキュリティに疎い若年層を狙った攻撃とみられている。また、キャンペーン分析時における被害者数は、少なくとも1,500人以上と推定されている。

攻撃に使用されたマルウェアや関連ファイルからはロシア語が発見され、ロシアを含むタイムゾーンでの活動が観察されたことから、脅威アクターはロシア在住の可能性があると指摘されている。

Check Pointは同様の攻撃を回避するためゲームプレーヤーに対し、次の対策の実施を推奨している。

  • 信頼できる検証済みのWebサイトやアプリ配布サイトからのみソフトウェアをダウンロードする
  • 改造ツール、自動化ツールなどは疑ってかかる
  • セキュリティソリューションを導入し、最新の状態に維持する
  • うますぎる話は詐欺の可能性があると理解する

最後に、同社は本件に関する技術的な詳細と、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「Malware Disguised as Minecraft Mods Target Gamers - Check Point Research」にて公開しており、必要に応じてセキュリティ対策に活用することが望まれている。