セキュリティ

何百人ものApex LegendsなどのFPSプレイヤーがチートツール経由でマルウェアに感染して個人情報を盗み出されている

by Sean Do

セキュリティ企業のSophosが、2019年2月以降に人気ファーストパーソン・シューティングゲームApex LegendsCounter-Strike:Global Offensive(CSGO)でチートツールをダウンロードしたユーザーの多くが、PC上の個人情報を盗み出すマルウェアに感染していると報告しています。

Microsoft Word - Baldr vs The World - TLP Amber.docx
(PDF)https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/baldr-vs-the-world.pdf

Hundreds Of Players Trying To Cheat At Apex Legends And Counter-Strike Get Their Private Data Stolen
https://kotaku.com/hundreds-of-players-trying-to-cheat-at-apex-legends-and-1837206180

対戦相手に勝利するためにエイムを補正するなどのチートツールを使用しているユーザーは、個人情報や財務情報を盗み出す「Baldr」と名付けられたマルウェアに感染している可能性があるそうです。Baldrは感染したユーザーのPC上から個人情報、クレジットカード情報、AmazonやPaypalのようなショッピングサービスのログイン情報、Battle.net/Steam/Epic Gameといったサービスのログイン情報などを盗み出します。

by Michael Geiger

以下の図はBaldrがログイン情報を盗み出したサービスのドメインを記したもの。文字のサイズが大きいほど多くのユーザーがログイン情報を盗み出されたことを示しています。mojang.comやepicgames.com、twitch.tvなどゲーム関連のサービスもありますが、google.comやfacebook.comといった大手ITサービス、amazon.comやebay.com、paypal.comといったショッピングサービスも並んでいるのがわかります。


Sophosによれば、「Baldrは資格情報、Cookie、再販可能な価値のあるキャッシュデータなどをほんの数秒で盗み取る」とのこと。

そしてBaldrがユーザーのPCから盗み出した情報は、ダークウェブ上で販売されていた模様。Sophosのセキュリティ研究者であるAlbert Zsigovits氏は、海外ゲームメディアのKotakuに対して「我々の目に留まったのは、機密情報を素早く盗み出し、被害者の資格情報をシームレスにウェブ上に流出させるというBaldrの能力です」と語っています。

Zsigovits氏によるとSophosは世界中で500~600程度のBaldrインスタンスを追跡しているそうです。検出されているインスタンスのほとんどはインドネシア・ブラジル・ロシア・アメリカにあります。以下の図はSophosが検出したBaldrに感染したPCの台数を基に、各国の感染割合を推定したもの。最も多くのユーザーが感染しているのがインドネシア、次がブラジルとロシア、そしてアメリカの順番に続きます。他にも南米・ヨーロッパ・アジア・アフリカの複数国々でBaldrに感染したPCの存在が推測されています。


以下の円グラフはSophosが検出したBaldrに感染したPCを国別の割合で示したもの。多い順にインドネシア(21.85%)・ブラジル(14.14%)・ロシア(13.68%)・アメリカ(10.52%)・インド(8.77%)・ドイツ(5.43%)・フランス(3.89%)・ベトナム(3.83%)・カナダ(3.62%)・オランダ(3.59%)・オーストラリア(1.43%)です。


なお、マルウェアのBaldrはCSGO向けのチートツール「CSGO Aimbot+Wallhack」や、Apex Legends向けのチートツール「Apex Legends New Cheat 0.2.1」の中に仕込まれていたそうです。これらのチートツールは、主にYouTube上でチート行為について宣伝している動画の説明欄などからリンクされていることが確認されています。例えば記事作成時点でもYouTube上で公開されているあるムービーは、動画のコメント欄からチートツールを配布しており、まんまとチートツールをダウンロードしてしまったユーザーの「サンキュー」というコメントが返信に表示されています。


他にも、ツールユーザーの一部がTwitchやDiscordといったサービス上でほかユーザーに宣伝していることが確認されているとのこと。

Baldrの活動は2019年5月にピークを迎えたそうですが、資格情報などはダークウェブ上ではあまり売れていないとのこと。しかし、Baldr自体はいまだにデータ侵害を続けており、「Baldrが消滅する前にこのマルウェアを購入したサイバー犯罪者は、マルウェアを引き続き使用できます」とZsigovits氏は語っています。

この記事のタイトルとURLをコピーする

・関連記事
配信からわずか3日で1000万人以上のプレイヤーを獲得した「Apex Legends」とは? - GIGAZINE

世界一プレイされているゲームではチーターは隔離され同士打ちすることになる - GIGAZINE

Steamが7日間で9万件以上のチートプレイヤーのアカウントを停止したことが判明 - GIGAZINE

世界一プレイされているゲームはチート行為にどうやって対抗しているのか? - GIGAZINE

人気バトルロイヤルゲームのチートプログラムを作成していた15名が逮捕される - GIGAZINE

ネトゲでチートツール使用の少年ら、電子計算機損壊等業務妨害容疑で書類送検 - GIGAZINE

・関連コンテンツ

in ソフトウェア,   ゲーム,   セキュリティ, Posted by logu_ii

You can read the machine translated English article here.