2019年08月14日 14時00分 セキュリティ

何百人ものApex LegendsなどのFPSプレイヤーがチートツール経由でマルウェアに感染して個人情報を盗み出されている

by Sean Do



セキュリティ企業のSophosが、2019年2月以降に人気ファーストパーソン・シューティングゲームのApex LegendsやCounter-Strike：Global Offensive(CSGO)でチートツールをダウンロードしたユーザーの多くが、PC上の個人情報を盗み出すマルウェアに感染していると報告しています。



Microsoft Word - Baldr vs The World - TLP Amber.docx

(PDF)https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/baldr-vs-the-world.pdf



Hundreds Of Players Trying To Cheat At Apex Legends And Counter-Strike Get Their Private Data Stolen

https://kotaku.com/hundreds-of-players-trying-to-cheat-at-apex-legends-and-1837206180



対戦相手に勝利するためにエイムを補正するなどのチートツールを使用しているユーザーは、個人情報や財務情報を盗み出す「Baldr」と名付けられたマルウェアに感染している可能性があるそうです。Baldrは感染したユーザーのPC上から個人情報、クレジットカード情報、AmazonやPaypalのようなショッピングサービスのログイン情報、Battle.net/Steam/Epic Gameといったサービスのログイン情報などを盗み出します。



by Michael Geiger



以下の図はBaldrがログイン情報を盗み出したサービスのドメインを記したもの。文字のサイズが大きいほど多くのユーザーがログイン情報を盗み出されたことを示しています。mojang.comやepicgames.com、twitch.tvなどゲーム関連のサービスもありますが、google.comやfacebook.comといった大手ITサービス、amazon.comやebay.com、paypal.comといったショッピングサービスも並んでいるのがわかります。





Sophosによれば、「Baldrは資格情報、Cookie、再販可能な価値のあるキャッシュデータなどをほんの数秒で盗み取る」とのこと。



そしてBaldrがユーザーのPCから盗み出した情報は、ダークウェブ上で販売されていた模様。Sophosのセキュリティ研究者であるAlbert Zsigovits氏は、海外ゲームメディアのKotakuに対して「我々の目に留まったのは、機密情報を素早く盗み出し、被害者の資格情報をシームレスにウェブ上に流出させるというBaldrの能力です」と語っています。



Zsigovits氏によるとSophosは世界中で500～600程度のBaldrインスタンスを追跡しているそうです。検出されているインスタンスのほとんどはインドネシア・ブラジル・ロシア・アメリカにあります。以下の図はSophosが検出したBaldrに感染したPCの台数を基に、各国の感染割合を推定したもの。最も多くのユーザーが感染しているのがインドネシア、次がブラジルとロシア、そしてアメリカの順番に続きます。他にも南米・ヨーロッパ・アジア・アフリカの複数国々でBaldrに感染したPCの存在が推測されています。





以下の円グラフはSophosが検出したBaldrに感染したPCを国別の割合で示したもの。多い順にインドネシア(21.85％)・ブラジル(14.14％)・ロシア(13.68％)・アメリカ(10.52％)・インド(8.77％)・ドイツ(5.43％)・フランス(3.89％)・ベトナム(3.83％)・カナダ(3.62％)・オランダ(3.59％)・オーストラリア(1.43％)です。





なお、マルウェアのBaldrはCSGO向けのチートツール「CSGO Aimbot+Wallhack」や、Apex Legends向けのチートツール「Apex Legends New Cheat 0.2.1」の中に仕込まれていたそうです。これらのチートツールは、主にYouTube上でチート行為について宣伝している動画の説明欄などからリンクされていることが確認されています。例えば記事作成時点でもYouTube上で公開されているあるムービーは、動画のコメント欄からチートツールを配布しており、まんまとチートツールをダウンロードしてしまったユーザーの「サンキュー」というコメントが返信に表示されています。





他にも、ツールユーザーの一部がTwitchやDiscordといったサービス上でほかユーザーに宣伝していることが確認されているとのこと。



Baldrの活動は2019年5月にピークを迎えたそうですが、資格情報などはダークウェブ上ではあまり売れていないとのこと。しかし、Baldr自体はいまだにデータ侵害を続けており、「Baldrが消滅する前にこのマルウェアを購入したサイバー犯罪者は、マルウェアを引き続き使用できます」とZsigovits氏は語っています。

