ゲームチートの代償『Arcaneの暗躍』日本のチーターが狙われる日

当ページはアフィリエイト広告を利用しています

記事内に広告が含まれています。
ゲームチートの代償『Arcaneの暗躍』日本のチーターが狙われる日
提供:photoAC「くろメロン様」

YouTubeで公開されているゲームチート動画が、新たに発見されたスティーラー型マルウェア「Arcane」の拡散手段として悪用されています。現在、このキャンペーンの主なターゲットはロシア語を話すユーザーとされていますが、手口の巧妙さから、日本を含む他国にも被害が広がる可能性が懸念されています。ゲームチートを装った手法は、幅広いユーザーの興味を引きつける危険性があり、警戒を怠らないことが重要です。

攻撃の仕組み

攻撃の流れは、YouTube動画にパスワード保護されたアーカイブへのリンクを配置することから始まります。このアーカイブを展開すると、内部に「start.bat」というバッチファイルが存在し、これがPowerShellを利用して新たなアーカイブファイルをダウンロードします。このアーカイブには2つの実行可能ファイルが埋め込まれており、そのうち1つは暗号通貨マイナー、もう1つは「VGS」というスティーラー型マルウェアです。しかし2024年11月以降、VGSは「Arcane」に置き換えられています。

感染すると致命的なマルウェア『Arcane』

Arcaneは、様々な種類のデータを収集する能力を備えており、ブラウザからログイン情報やクレジットカード情報、Cookieを盗み出すほか、システムデータ、アプリの設定やアカウント情報も収集します。その対象となるアプリはVPNクライアント、ネットワークユーティリティ、メッセージングアプリ、ゲームクライアント、暗号通貨ウォレットなど幅広いものを含みます。また、感染したデバイスのスクリーンショット撮影や、稼働中のプロセスの列挙、保存されたWi-Fiネットワークの情報とパスワードを取得する機能も持っています。

二段構えの侵略:暗号鍵を暴くArcaneの巧妙な手口

さらにArcaneは、ブラウザが生成するデータ保護用の暗号鍵を取得するため、Data Protection API(DPAPI)を使用しますが、それに加えて「Xaitax」というユーティリティを用いて暗号鍵を解析する高度な手法も採用しています。Chromium系ブラウザからCookieを抽出する際にはデバッグポートを利用してブラウザのコピーを起動するという、巧妙な方法も実装されています。

Data Protection API(DPAPI)とは?

DPAPIはWindowsが提供するセキュリティ機能で、データを暗号化・復号するための仕組みです。例えば、ブラウザが保存するログイン情報やCookieなどの機密データは、このDPAPIを使って暗号化されています。Arcaneは、DPAPIを利用してこれらの暗号化されたデータを復号し、攻撃者が読み取れる形で取得します。この手法自体は、多くのスティーラー型マルウェアでも一般的に使用されている方法です。

「Xaitax」というユーティリティの役割

通常のDPAPIによる復号だけでは得られないデータを取得するために、Arcaneはさらに「Xaitax」というユーティリティを使用しています。このツールは、ブラウザの暗号鍵(保護キー)を解析する能力を持っています。具体的には、Xaitaxをディスク上に隠れて展開し、バックグラウンドで実行することで、ブラウザが利用している暗号鍵を暴き出します。その鍵を使い、暗号化されたデータを復号して攻撃者が取得可能にするのです。

簡単にまとめると、ArcaneはWindowsの暗号化システム(DPAPI)を利用するだけでなく、Xaitaxという追加ツールで暗号鍵を解析し、より広範なデータ収集を可能にした、非常に巧妙なマルウェアです。このような組み合わせた手法が、攻撃者の狙いを効果的にサポートしています。

チートツールを餌に感染拡大

攻撃者は「ArcanaLoader」と名付けられた新たなローダーを展開しました。このローダーは一見すると、ゲームチートをダウンロードするためのツールとして宣伝されていますが、その実態はArcaneというマルウェアを配布する役割を担っています。

要するに攻撃者はYouTubeなどのプラットフォームにゲームチートを宣伝する動画を公開し、ユーザーを魅了するわけです。さらに、その中にはゲームを有利に進めるチートツールがダウンロードできるリンクが設置されているのですが、このリンク先には「ArcanaLoader」が仕込まれており、ユーザーはそれをゲームチートだと信じてダウンロードしてしまうわけです。

狙われる次の標的は日本か?広がるArcaneの脅威

現在、このキャンペーンの主な標的地域はロシア、ベラルーシ、カザフスタンとされていますが、サイバー犯罪者たちの柔軟で巧妙な手法を考えると、被害の範囲はさらに拡大する恐れがあります。特にArcaneは、広範なデータ収集能力を持つスティーラー型マルウェアであり、ゲームチートを求めるユーザーを狙う手法は、日本を含む他国のユーザーにも容易に波及する可能性があります。このような脅威に対して、個々のユーザーや企業は引き続き注意を払い、セキュリティ対策を徹底する必要があります。

出典

The Hacker News『YouTube Game Cheats Spread Arcane Stealer Malware to Russian-Speaking Users