サイバー犯罪キャンペーンがインフォスティーラーを拡散し、Web3ゲームへのリスクを浮き彫りに

Insikt Groupは、不正なWeb3ゲームプロジェクトを利用して、macOSとWindows デバイスの両方に複数の情報窃盗亜種（「情報窃取型マルウェア」）マルウェアを配信する大規模なロシア語のサイバー犯罪キャンペーンを特定しました。Web3ゲームとは、ブロックチェーン技術に基づいて構築されたオンラインゲームを指し、さまざまな暗号通貨を稼ぐプレーヤーに金銭的利益をもたらす可能性があります。これらの不正なWeb3プロジェクトは、プロジェクト名とブランディングをわずかに変更して、正当なプロジェクトを模倣しています。この不正なブランディングには、正当なプロジェクトを偽装し、本物であるかのように見せかける複数のソーシャルメディアアカウントも含まれます。

このキャンペーンの対象が絞られていることから、脅威アクターはWeb3ゲーマーにソーシャルエンジニアリングに対するより深刻な脆弱性があると認識している可能性があります。これは、利益を追求する上で、サイバー衛生上のトレードオフ（つまり、Web3ゲーマーがサイバー犯罪に対して実施している保護が少なくなる可能性がある）が想定されているためです。キャンペーンの背後にいる脅威アクターは冗長性と継続性を実現するために必要なインフラストラクチャを構築しています。同キャンペーンのアジャイルな性質は回復力を暗示します。つまり、脅威アクターが特定されれば、撤退したりブランドを変更したりするのは比較的簡単かもしれません。このキャンペーンで配布されたAMOSのバージョンは、IntelベースのMacとARMベースの（Apple M1）Macの両方に感染する可能性があることがわかりました。つまり、どちらのチップセットを使用している場合でも、この情報窃取型マルウェアに対して脆弱である可能性があります。Web3ゲームプロジェクトの視聴者数を考えれば、脅威アクターが主に暗号通貨ウォレットの被害者を標的にしていることはほぼ確実です。Web3と暗号通貨のセキュリティの両方において、総コストの面から見てウォレットの侵害が引き続き最大の脅威であるため、このキャンペーンの最終目標はウォレット侵害である可能性が高いと当社は考えています。ただし、収集された認証情報がさまざまな不正なアカウントアクセスに使用される可能性もあります。

このキャンペーンの戦術、技術、手順（TTP）は、エンドポイントの検出と応答（EDR）またはアンチウイルス（AV）製品のみに基づく緩和策に対して継続的な有効性を提供します。標的となる個人と組織は、包括的な緩和戦略でこのキャンペーンのクロスプラットフォームの脅威に対応する必要があります。これらのプロジェクトのHTMLコードにロシア語のアーティファクトが含まれていることから、脅威アクターはロシア語話者である可能性が高いと考えられます。正確な場所を特定することはできませんが、このようなアーティファクトの存在は、脅威アクターがロシアまたは独立国家共同体(CIS)内の国に存在する可能性があることを示唆しています。

このキャンペーンを継続的に監視することは不可能であり、個人や組織はより広範な攻撃ベクトル自体に対して緩和策を実装する必要があります。このキャンペーンは「トラップフィッシング」ソフトウェアのダウンロードを通じて広がるため、潜在的な被害者が未確認の非公式ソースからソフトウェアをダウンロードするのを思いとどまらせるために、包括的な意識向上とユーザー教育キャンペーンが不可欠となります。その他の推奨事項については、本レポートの軽減策のセクションで説明しています。

Web3ゲームまたは隣接する業界（より広範なゲーム業界や暗号通貨取引所など）で事業を行っている組織は、このキャンペーンの一環としてプロジェクトがなりすまし被害を受けるリスクがあり、是正しないとブランドが著しく損なわれる可能性があります。ブランド毀損による経済的損失を判断することは困難ですが、このようなキャンペーンに対処しないと、影響を受けるWeb3プロジェクトはユーザーベース全体とWeb3ゲーム業界全体における評判を損なうリスクがあります。このキャンペーンのアジャイル性を考えると、これらの脅威アクターは引き続き情報窃取型マルウェアを含むWeb3ゲームプロジェクトを標的にする可能性が高いと当社は考えています。

欺瞞のウェブ:模倣Web3ゲーム詐欺とマルウェア感染の台頭

このキャンペーンでは、正当に見えるように名前やブランディングを少し変更した模倣Web3ゲームプロジェクトを作成し、その信憑性を高めるために偽のソーシャルメディアアカウントを作成します。 これらのプロジェクトのメインWebページにはダウンロードが用意されており、インストールすると、オペレーティングシステムに応じて、Atomic macOS Stealer(AMOS)、Stealc、 Rhadamanthys、RiseProなどのさまざまな種類の「インフォスティーラー」マルウェアにデバイスに感染します。

不正なWeb3ゲームプロジェクトの状況(出典:Recorded Future)

このキャンペーンは、Web3のゲーマーを標的としており、その潜在的なサイバー衛生の欠如を悪用して利益を追求しています。これは、さまざまなマルウェアを利用してユーザーのシステムを侵害する、重大なクロスプラットフォームの脅威です。この脅威アクターは、ブランドの変更や検出への焦点の移行を通じて迅速に適応できるよう、回復力のあるインフラストラクチャを用意しています。本レポートでは継続的な警戒の必要性を強調し、個人や組織がこれらの高度なフィッシング戦術に対する包括的な緩和戦略を採用することを推奨しています。

具体的な調査結果から、AMOSを含むマルウェアのバージョンはIntelおよびApple M1 Macの両方に感染する可能性があることが明らかになり、ユーザーの間に広範な脆弱性があることが示されています。主な目的は金融セキュリティに重大なリスクをもたらす暗号通貨ウォレットの窃盗であるようです。エンドポイント検出やウイルス対策ソフトウェアなどの潜在的な緩和策にもかかわらず、同キャンペーンの手法は引き続き有効であり、より広範な防御策が必要であることを示唆しています。HTMLコード内のアーティファクトは脅威アクターがロシア起源であることを示唆していますが、正確な場所は不明です。本レポートは、確認されていないソースからのダウンロードを防止するための認識と教育の重要な必要性を強調し、このような脅威に適切に対処しない場合、合法的なWeb3ゲームプロジェクトにブランド毀損のリスクがあることを強調しています。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

注：本レポートの概要は2024年4月11日に発表され、2024年10月29日に更新されました。当初の分析と調査結果に変更はありません。

付録A — 侵害を示す指標

付録B — MITRE ATT&CK手法

付録C:ドメインとIPの相関関係