Stealka(Stealka)として知られる新たなマルウェアの亜種が、ゲームチートやソフトウェアクラック、人気MODを装い、信頼されているダウンロードプラットフォームや偽サイトを悪用してユーザーをだまし、自らの端末に感染させています。
サイバーセキュリティ企業のKasperskyは、Windowsベースのこのインフォスティーラーが少なくとも11月以降アクティブに流通しており、ブラウザデータやローカルにインストールされたアプリケーション、ブラウザ型およびデスクトップ型の暗号資産ウォレットを標的にしていると報告しています。
一度実行されると、Stealkaはオンラインアカウントを乗っ取り、暗号資産の残高を抜き取るほか、場合によっては暗号資産マイナーをインストールして、感染したシステムからさらなる金銭化を図ることができます。
ゲームチートや違法コピーソフトを通じて拡散
Kasperskyの分析によると、Stealkaは主にユーザーが自らダウンロードして実行するファイルを通じて拡散します。
このマルウェアは、商用ソフトウェアのクラック版や人気ゲーム向けのチート・MODに偽装されていることが多く、GitHub、SourceForge、Softpedia、Google Sitesといった広く利用されているプラットフォームを通じて配布されています。
一部のケースでは、攻撃者は正規のリポジトリに悪意あるファイルをアップロードし、プラットフォームの信頼性を利用してユーザーの疑いを弱めていました。
これと並行して、海賊版ソフトウェアやゲームスクリプトを提供する、プロが作成したような偽サイトも確認されています。
これらのサイトは、多くの場合、ダウンロードが安全であるかのように見せかける偽のウイルススキャン結果を表示します。
実際には、ファイル名やページの説明は単なるおとりであり、ダウンロードされるコンテンツには一貫して同じインフォスティーラーのペイロードが含まれています。
ブラウザ、ウォレット、ローカルアプリケーションを標的
インストールされると、StealkaはChromium系およびGecko系ブラウザを重点的に狙い、100種類以上のブラウザ利用者がデータ窃取のリスクにさらされます。
マルウェアは、保存されたログイン認証情報、オートフィルデータ、Cookie、セッショントークンを抽出し、攻撃者が二要素認証を回避してパスワードなしでアカウントを乗っ取れるようにします。
侵害されたアカウントは、ゲームコミュニティを含むさまざまな経路で、マルウェアのさらなる拡散に利用されます。
Stealkaはまた、暗号資産ウォレット、パスワードマネージャー、認証ツールに関連するブラウザ拡張機能も標的にします。研究者らは、MetaMask、Trust Wallet、Phantomといった主要な暗号資産ウォレットの拡張機能に加え、Bitwarden、Authy、Google Authenticatorなどのパスワード・認証サービスに関連する拡張機能からデータを収集しようとする試みを確認しました。
ブラウザ以外でも、このマルウェアは数十種類のデスクトップアプリケーションから設定ファイルやローカルデータを収集します。
ここには、暗号化された秘密鍵やウォレットメタデータを保存している可能性のあるスタンドアロン型の暗号資産ウォレット、メッセージングアプリ、メールクライアント、VPNソフト、ノートアプリ、ゲームランチャーなどが含まれます。
なぜ重要なのか
こうした情報へのアクセスにより、攻撃者は資金を盗み、アカウント認証情報をリセットし、さらなる悪意ある活動を隠蔽できるようになります。
さらにマルウェアは、システム情報を収集し、感染端末のスクリーンショットも取得します。
Kasperskyは、Stealkaキャンペーンが、海賊版ソフト、ゲーム関連ダウンロードと金融犯罪の境界が急速にあいまいになっている現状を浮き彫りにしていると警告し、ユーザーに対し、信用できないソースからのソフト入手を避け、チート、MOD、クラックを高リスクファイルとして扱うよう促しています。