Fortinetは1月8日(米国時間)、「Deceptive Cracked Software Spreads Lumma Variant on YouTube|FortiGuard Labs」において、YouTubeを悪用して情報窃取マルウェア「Lumma Stealer」の亜種を配布する脅威グループを発見したと伝えた。

  • Deceptive Cracked Software Spreads Lumma Variant on YouTube|FortiGuard Labs

    Deceptive Cracked Software Spreads Lumma Variant on YouTube|FortiGuard Labs

動画に悪意あるファイルへの短縮URLが埋め込まれている

脅威グループはYouTubeアカウントを侵害し、他人のアカウントでクラックされたソフトウェアを宣伝する動画をアップロードすることが確認されている。この動画には悪意あるファイルへの短縮URLが埋め込まれており、動画を視聴したユーザーを誘導する。

短縮URLのリンク先はGitHubやMediaFireなどのオープンソースプラットフォームが使用されており、フィルタによる保護を回避する目的があると見られる。Fortinetによると、今回確認された動画は今年はじめにアップロードされたものだが、リンク先の悪意のあるファイルは定期的に更新されており、ダウンロード数は増加し続けているとして警戒を呼びかけている。

  • 攻撃の流れ - 提供:Fortinet

    攻撃の流れ 引用:Fortinet

悪意のあるファイルの実体

この悪意のあるファイルはZIPファイル形式で、PowerShellを使用して悪意のあるインストールファイルをダウンロードするリンクファイルを内包している。このリンクファイルを開くと、最終的に情報窃取マルウェアがインストールされる。インストールの過程で展開されるマルウェアローダには環境チェック、アンチウイルスソフトウェア対策、デバッグ対策が含まれており、分析を妨害する機能が確認できるという。

最終的にインストールされるLumma Stealerの亜種はシステムデータ、ブラウザ、暗号資産のウォレットなど、さまざまな情報を窃取する可能性がある。また、コマンド&コントロール(C2: Command and Control)サーバと接続を確立し、HTTPSプロトコルを介してサーバからの要求を処理する機能や窃取した情報を送信する機能を持つ。

Fortinetはこのような攻撃を回避するために、不審なソフトウェアに注意し、信頼できる公式サイトから配布される正規のソフトウェア以外は使用しないことを推奨している。また、今回の分析において判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。