Google Driveに保存されたパスワードスティーラー型マルウェアがSteamユーザーに配信されている

Google Driveに保存されたパスワードスティーラー型マルウェアがSteamユーザーに配信されている

最近、STEAMユーザーの資格情報を盗むことを目的としたマルウェアが現れました。このマルウェアは、サービスのチャット機能を通じて広まっています。

ユーザーに対して、インターネット上の短縮サービスを使用して短縮されたリンクをクリックするように求めます。

ユーザーがそれをクリックすると、Google Driveに保存されたファイルにリダイレクトされます。そのファイルは画像ファイルのように見え、画像アイコンが付いています。しかし、このファイルは実際には実行可能ファイルであり、実行されるとSteamの資格情報を盗みます。

目次

• 明らかな攻撃
• 明らかに、それはあまりにも明白

明らかな攻撃

マルウェアに詳しい方には、このプロセスは本の中で最も明白なトリックのように聞こえたでしょう。

それはその通りです。しかし、私たちがこれを報告しているということは、時には最も明白な攻撃でも被害者が出ることを示しています。ほとんどのゲーマーはこのようなマルウェア攻撃を認識しており、悪意のあるサイトから離れるために常に警戒しています。

しかし、時には人々が犠牲になってしまうこともあります。このケースでも何度もそうなっています。

上記のように、ほとんどのゲーマーはチャットで押し付けられるマルウェアが含まれたリンクを認識しています。多くの場合、リンクはSteamチャットでジョークの対象となります。多くのゲーマーがそれを知っているからです。こちらはその一例です。

Panda Securityのマルウェア研究者Bart Blazeは、サンプルを分析し、日曜日にブログ投稿で技術的な概要を提供しました。彼は、悪意のあるリンクがGoogle Driveからスクリーンセーバーファイル（SCR拡張子）をダウンロードすることを説明しています。このSCRは画像であると主張し、ファイルアイコンとして画像を持っています。

「通常、Google Drive Viewerアプリケーションが表示され、これにより.scrファイルをダウンロードできます。この場合、リンクに「&confirm=no_antivirus」という文字列が追加されており、ファイルがすぐに実行するか保存するかを尋ねるポップアップが表示されます（場合によっては自動的にダウンロードされることもあります）」と彼は書いています。

明らかに、それはあまりにも明白

さて、良いニュースです。この攻撃は非常に有名であるため、ほとんどの利用可能なアンチウイルスがこれに対して保護することが知られています。

ほとんどの信頼できるアンチウイルスソリューションはこれを検出し、コンピュータへのダウンロードを防ぎます。VirusTotalの55のアンチウイルスエンジンのうち37が、即座に隔離するのに問題はありません。

研究者の分析によると、このマルウェアはチェコ共和国にホストされたサーバーに接続し、盗まれた情報がアップロードされる可能性があります。

この脅威によって侵害されたSteamアカウントのログイン情報の兆候は、「temp.exe」、「wrrrrrrrrrrrr.exe」、「vv.exe」、またはランダムな名前のプロセスがシステム上で実行されていることです。これはタスクマネージャーで確認できます。

このマルウェアに対して何らかの措置が講じられた形跡はなく、ファイルは依然としてGoogleのクラウドストレージサービスに存在しています。これが、Steamユーザーがそれを正当なものだと思い込み、マルウェアの犠牲になる唯一の理由です。