みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

ゲームのチートツールからマルウェアAZORultに感染させる攻撃の観測

はじめに

最近、オンラインゲーム流行ってますよね。 僕はポケモンgoくらいしかやらないんですが、荒野行動とかはすごい人気みたいですね。

ちなみに、荒野行動は中国発のゲームだそうです。

中国最近すごいな~

この荒野行動みたいな、協力し合いながら楽しむゲームにはチートツールがあるようで、それも流行ってる(!?)ようです。

※荒野行動はあくまで例です。本攻撃との関連は指摘されていません。

そういえば、ポケモンのチートツール使った人は逮捕されてましたね。

www.sankei.com


今回の観測された手法

そんな人気の裏返しで登場するチートツールですが、チートツールを実行するとマルウェアが読み込まれる攻撃に関する記事が出ました。

www.bleepingcomputer.com

このAZORultはstealerと呼ばれる情報窃取型マルウェアで感染した機器からパスワードをはじめとした機器情報を盗み出します。

https://images.squarespace-cdn.com/content/v1/555b2d4ee4b011aa38092227/1519828007204-2NNWW23LW936JDMWQDOM/ke17ZwdGBToddI8pDm48kNBqCkxdZwmq9-uXZT4asMEUqsxRUqqbr1mOJYKfIPR7LoDQ9mXPOjoJoqy81S2I8N_N4V1vUb5AoIIIbLZhVYxCRW4BPu10St3TBAUQYVKcwi07mDi_0nsNuVmgMB-zffwlTBvHun3_k7g_cp4UJK4dOqkJOhIdbje8uWglSZsL/azorult.png

どうやらこのチートツールはPirate Hackというユーチューバーがゲームのチート動画を公開しつつ、動画のリンク経由で提供されているようです。

https://www.bleepstatic.com/images/news/security/a/azorult/fake-game-hacks/youtube-video.jpg

無料だとのことですが、タダほど怖いものはないですね(笑)

というか、このゲームの運用はどうなってるんだろう(笑)


ツールの実行順序

チートツールはzip形式で落とされ、解答するとチュートリアルも展開されるのですが、そこにはアンチウイルスを無効化するよう指示が書かれています。

https://www.bleepstatic.com/images/news/security/a/azorult/fake-game-hacks/instructions.jpg

その後、ツールが実行されると、一時フォルダに展開された実行ファイルによって、AZORult DLLが読み込まれます。

実行ファイルはsvchost.exeという名で実行されるのですが、この名前はWindowsOSのサービスを実行する時のプロセス名と同じで、偽装を意図しています。

このsvchost.exeが実行され、読み込まれるのはdllファイルなので、まともな挙動っぽく見せてるわけです。

これにより、機器上の様々な情報が攻撃者の元へ送られます。

https://www.bleepstatic.com/images/news/security/a/azorult/fake-game-hacks/network-connection.jpg

さらに、次回機器が起動したときに、また実行されるよう最初の実行ファイルのコピーも作成します。


日本におけるAZORultの利用

このAZORultですが、攻撃者の間では有名なツールで、Windows updateを装って落とされてきたり様々な手段で活用されています。

日本では、偽の津波警報に記載された偽の気象庁のサイトからダウンロードされるという観測記事が、Fortinetより発行されていました。

www.fortinet.co.jp


最後に

ブログを始めてから3ヶ月くらい経ち、何だかんだで色々なマルウェアを紹介しています。

あまり、馴染みがないかたも少しずつ覚えて、セキュリティ系のマニアックな知識からも抵抗がなくなってくれると嬉しいです!

これからも、なにとぞ。