【Dr.WEB】Steamユーザーを狙う新たなトロイの木馬

2014年の秋はゲーマーを標的とするマルウェアが多く登場する結果となりました。9月、Doctor WebではDota 2のユーザーから貴重なゲームアイテムを盗むTrojan.SteamBurglar.1について報告しました。犯罪者による攻撃はこれだけに止まることはなく、今回、Trojan.SteamLogger.1と名付けられた新たなマルウェアがDoctor Webのウイルスアナリストによって発見されました。このプログラムはTrojan.SteamBurglar.1と類似した機能を持ち、複数のマルチプレイヤーゲームのユーザーを標的としています。

Trojan.SteamLogger.1はDota 2、Counter-Strike: Global Offensive、Team Fortress 2のユーザーからアイテムを盗むほか、キーストロークを記録して犯罪者に送信します。このトロイの木馬もTrojan.SteamBurglar.1同様、フォーラムやSteamライブチャットを利用してゲームアイテムの売買や交換を持ちかけることで拡散されていると考えられます。

この悪意のあるプログラムは3つのモジュールで構成され、最初の1つはボディからメインモジュールおよびサービスモジュールを抽出し復号化するドロッパーです。サービスモジュールはUpdate.exeとして一時フォルダ内に保存された後に起動され、メインモジュールはシステムルーチンを利用して感染したシステムのメモリ内にロードされます。次にサービスモジュールは犯罪者のサイトから画像をダウンロードし、それらを一時フォルダ内に保存して画面上に表示させます。

サービスモジュールはProgram Filesフォルダ内にサブディレクトリCommon Files\Steam\が存在するかどうかを確認し、存在しなかった場合はそれを作成します。続けてSteamService.exeという名前で自身をフォルダ内にコピーし、実行ファイルに"system"および"hidden"属性を設定します。続けてレジストリブランチ内に自身を登録することでSteamService.exeが自動実行されるようにします。その後、犯罪者のサイトにクエリを送信し、"OK"コマンドが返ってこなかった場合はトロイの木馬のボディに組み込まれたプロキシサーバーのリストを用いてC&Cサーバーへの接続を試みます。Trojan.SteamLogger.1は、OSバージョン、プラットフォーム、Cドライブのあるハードディスクのシリアル番号から算出されたユニークなIDなどの、感染したコンピューターに関する情報をリモートサーバーに送信します。さらに、サービスモジュールをアップデートするためのコマンドを受け取ることもできます。

Trojan.SteamLogger.1のメインモジュールは、起動されると感染したシステムメモリ内でSteamプロセスを検索し、ユーザーがアカウントを使用してSteamサーバー上にログインしているかどうかを確認します。ログインしていない場合、プレイヤーがサーバーに認証されるまで待ち、Steamユーザーアカウントに関する情報(SteamGuardが有効かどうか、Steam ID、セキュリティトークン)を盗んで犯罪者に送信します。その応答としてTrojan.SteamLogger.1は、被害者から盗んだアイテムの送信先となるアカウントのリストを受け取ります。収集されたデータを全て犯罪者のサーバーへ送信した後、トロイの木馬はSteam設定内で自動認証が有効になっているかどうかを確認し、無効になっていた場合は別のスレッドを作成してキーロガーを起動させます。記録されたキーストロークは15秒間隔で犯罪者に送信されます。

貴重なゲームアイテムを判別するためにTrojan.SteamLogger.1は「Mythical」、「Legendary」、「Arcana」、「Immortal」、「DOTA_WearableType_Treasure_Key」、「Container」、「Supply Crate」などのキーワードを使用しています。このことから、このトロイの木馬は最も価値のあるアイテムであるchestやchest keyを盗もうとしていることが分かります。また、Trojan.SteamLogger.1はプレイヤー自身によるアイテムの売買をモニタリングし、プレイヤーがアイテムを売ろうとした場合は該当するアイテムをリスト上から削除することでそれを妨げます。

Trojan.SteamLogger.1は現時点でDota 2、Counter-Strike: Global Offensive、Team Fortress 2を標的としていますが、他のゲームからアイテムを盗むよう改良される可能性もあります。盗まれた仮想アイテムは全てC&Cサーバーからのコマンドに従って犯罪者のアカウントに送られます。その後、犯罪者は特別に設計されたオンラインストアを使用して、盗んだアイテムの中で最も安いDota 2のchest keyを売ろうとします。chest key以外のアイテムを換金する方法については明らかになっていません。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=798&lng=ja&c=2