Itch.ioユーザーを狙った詐欺が増加
Malwarebytesの最近の報告により、インディーゲームプラットフォームItch.ioのゲームコミュニティに影響を及ぼす不穏な詐欺行為が注目を集めています。この詐欺の犯人は、Archimoulinなどの人気ゲームを装い、ゲーマー仲間とインディー開発者の間に存在する信頼関係を悪用しています。
詐欺の手口
このプロセスは、詐欺師がDiscordなどの信頼できるコミュニケーションプラットフォーム上のアカウントを乗っ取ることから始まります。この戦術により、潜在的な被害者が悪意のあるリンクを信頼し、クリックする可能性が高まります。
クリックすると、ユーザーはItch.ioのデザインを模倣した偽のウェブページにリダイレクトされます。これらのページは、多くの場合、Blogspotのサブドメインやクラウドリンクサービスでホストされています。より高度な詐欺では、ログイン認証情報を取得するために、偽のDiscordサインインページが表示されることがあります。これは、被害者のアカウントを侵害するだけでなく、詐欺師がさらに悪意のあるメッセージを送信することも可能にします。
悪意のあるダウンロードと回避策
詐欺的なゲームページにアクセスした被害者はダウンロードボタンが表示されますが、本来ダウンロードすべきゲームではなく、通常は という名前のファイルを誤ってダウンロードしてしまいますSetup Game.exe。この実行ファイルは、インストールウィザードやプログレスバーなどの目に見えるユーザーインターフェースなしで動作するように設計されているため、簡単に見落とされてしまいます。
この悪意のあるプログラムはPowerShellを起動し、エンコードされたコマンドを実行することで、有害なスクリプトを即時検出から隠蔽します。コードをメモリ内で直接実行することで、従来のウイルス対策ソフトウェアによる脅威の検出が困難になります。さらに、.NETのトリックを使用することで、PowerShellウィンドウをユーザーから隠蔽することが可能です。
ユーザーによる介入をさらに阻止するため、このマルウェアはtaskkillChrome、Firefox、Brave、Edge、Operaといった一般的なウェブブラウザを強制的に閉じるコマンドを使用します。これにより、ユーザーは情報を素早く検索したり、インストールプロセスを中止したりすることができなくなります。
脅威レベルと推奨されるアクション
このマルウェアはステージャーまたはローダーとして動作し、外部サーバーと直接通信することはありません。代わりに、レジストリエントリ、BIOS、ネットワーク構成などのチェックを行い、制御されたサンドボックス環境ではなく、正規のマシン上で動作していることを確認します。条件が適切と判断されると、このステルス性の高いコンポーネントは、バックドア、キーロガー、暗号通貨マイナーなどの悪意のあるペイロードをさらにダウンロードします。
Malwarebytesは、悪意のあるファイルを実行するすべての人に、直ちに行動を起こすよう勧告しています。特に以下の点が重要です。
- Discord、メール、Steam アカウントのパスワードを変更します。
- 安全なデバイスから 2 要素認証を有効にします。
- すべてのアクティブなセッションからログアウトします。
- 承認されたサードパーティのアプリケーションまたはトークンをすべて取り消します。
- 影響を受けるマシンをインターネットから切断します。
迷惑リンクには注意してください
この継続的な脅威について懸念がある場合は、疑わしいゲームのダウンロードリンクを含む予期せぬダイレクトメッセージや、クラッシュや突然の新しいフォルダの出現といったブラウザの異常な動作に注意してください。万が一システムが侵害された場合は、Windowsを完全に再インストールすることを強くお勧めします。
詳細については、Neowin のWeb サイトで完全なレポートをご覧ください。
コメントを残す