子どもや若年層がターゲット、YouTube経由で「海賊版ゲームの配布」うたいマルウェア侵入目指す――プルーフポイント

　プルーフポイントは、ゲームのクラッキング方法を紹介するYouTube動画を用いて、マルウェアを配信する攻撃グループの存在を明かし、注意喚起を促している。

　この攻撃は、主に個人でのインターネット利用者およびコンピューターをターゲットとしたもので、子ども若年者層が狙われているという。

攻撃手法

　ソフトウェアのダウンロードや、ビデオゲームのアップグレードなどを無料で行う方法をエンドユーザーに紹介する動画をYouTubeに投稿誌、動画の説明分にあるリンクをクリックすると、悪意あるソフトウェアがダウンロードされる。

　こうした、悪質な動画を掲載するアカウントの多くは、不正アクセス侵害されたり、正規ユーザーから譲渡されたアカウントと推定されるが、マルウェアを配信する目的で作成され、数時間だけアクティブになる、攻撃者自身が作成および管理している可能性が高いアカウントの存在も確認しているという。

認証済みアカウントも乗っ取られ悪用されるケースがある

　おとりに使われているビデオゲームが、低年齢層に人気のゲームであることから、この攻撃は悪意あるコンテンツや危険なオンライン行動を識別する能力が十分発達していない、若年層の子どもや若いユーザーをターゲットにしていると推定される。

　調査の間、プルーフポイントはマルウェアを配布する24以上のアカウントと動画をYouTubeに報告し、それらのコンテンツはYouTubeによって削除されたという。

攻撃に使われたYouTubeアカウントの例

　不正アクセスが疑われる、または不正アクセスを受けたアカウントには、過去に投稿された動画と、新たに投稿された動画の間が大きく空いていることや、以前に投稿されていた動画と新たに公開された動画の内容や言語が異なること、動画の説明分に悪意あるリンクが含まれているなどが見られる。

従来はタイ語だったが、急に英語コンテンツになった

　ある例では、人気ゲームのキャラクターの拡張機能が含まれていると称する動画があり、その説明分にはストレージサービスのMediaFireのリンクが含まれていた。このリンクには、実行ファイルを含むパスワードで保護されたファイルが含まれ、実行するとマルウェアがダウンロードされ、インストールされる。

説明分にMediaFire（ストレージサービス）へのリンク

　このビデオは、プルーフポイントの調査の7時間前に、侵害された疑いのあるアカウントにアップロードされていた。動画が投稿されたのと同時期に、ソフトウェアのクラックの正当性を証明するようなコメントがいくつか投稿された。これらのコメントは、悪意あるリンクに信憑性を持たせるために、動画の投稿者またはその協力者によって投稿された可能性が高いと推測される。

動画投稿と同時期に称賛コメントが投稿される

　別のアカウントにアップロードされた動画には、追加のヒントとしてWindows Defenderやその他のウイルス対策製品を無効にする方法が紹介された上で、「ファイルは完全に安全である」と説明するなど、攻撃者の意図を隠してマルウェアをダウンロードするように促す事例もあったという。

セキュリティ対策を無効化するように促す説明も

セキュリティソフトのスキャンを回避

　YouTube動画の説明分にパスワードで保護された圧縮実行ファイルへのURLを含むかたちで配布された全てのケースでは、.rarファイル自体は容量が小さいものの、圧縮されたペイロードは常に約800MBあったという。

　これは、実行ファイルにかなりの量の無意味なデータの追加処理（パディング）が含まれ、ファイルサイズを大きくすることでアンチウイルスソフトによるスキャンを回避しようとしている。

ファイルを大容量化することでアンチウイルスのスキャンを回避