はじめに
インディーゲームコミュニティは、新たな巧妙な脅威に直面しています。悪意ある攻撃者がItch.ioとPatreonを悪用し、正規のゲームアップデートを装ってLumma Stealerマルウェアを配布しています。これは、プラットフォーム全体で組織的なスパムキャンペーンを通じて、 unsuspectingなゲーマーを標的にしています。
Lumma Stealerの配布手口
新たに作成されたItch.ioアカウントは、正規のゲームのコメント欄にテンプレート化されたメッセージを大量に投稿し、「ゲームアップデート」と称してPatreonへのリンクへと誘導しています。これらのリンクからダウンロードされるアーカイブは「Updated Version.zip」という名前で、中には一見無害なファイルが多数含まれています。しかし、主要な実行ファイルである「game.exe」には実際のマルウェアペイロードが隠されており、複数の回避技術を駆使する高度な脅威です。
革新的な攻撃手法:nexeコンパイルの悪用
このキャンペーンを特徴づけているのは、nexe(Node.jsアプリケーションをスタンドアロンのPE実行ファイルに変換するコンパイラ)の使用です。これは、nexeが悪意のあるマルウェア配布のために兵器化されたことが文書化された初めての事例であるようです。従来、Node.jsベースのマルウェアにはnode.exeランタイムが必要でしたが、この革新によりその依存関係が排除され、マルウェアの移植性が向上し、検出がより困難になっています。
巧妙な検知回避技術
逆コンパイルにより、マルウェアのコアエンジンとして機能する難読化されたJavaScriptファイル「mains.js」が明らかになりました。このファイルには、セキュリティ研究者や自動解析システムを妨害するために設計されたアンチ解析ルーチンが満載されています。マルウェアは、以下の6つの異なるアンチ解析サブルーチンで包括的な防御戦略を実行しています。
- システムリソースの確認: RAMが4GB未満、またはCPUコアが2つ以下の場合、仮想環境と判断し実行を停止します。
- サンドボックスユーザー名の検索: 「sandbox」、「vmware」、「malware」など、広範囲に定義されたリストから一般的な解析システムIDを検索します。
- マルウェア解析ツールの検出: IDA Pro、Wireshark、Burp Suiteなど、60を超えるマルウェア解析ツールと実行中のプロセスを比較します。
- ビデオコントローラー名の調査: VMware SVGA 3DやVirtualBoxグラフィックアダプターなどの仮想化インジケーターを特定するためにビデオコントローラー名を調べます。
- システムリフレッシュレートの確認: リフレッシュレートが29Hz未満の場合、仮想化環境に典型的な状況と判断し、実行を終了します。
- ディスクドライブモデル名の検査: 仮想マシン識別子をディスクドライブモデル名から検査します。
Lumma Stealerペイロードの展開
これらの防御を迂回すると、マルウェアはリフレクティブローディング技術を通じて最終ペイロードを展開します。Node.js APIエクスポート関数を持つDLLである「modules.node」というファイルをデコードしてシステムの一時ディレクトリに書き込みます。このDLLはその後、Node.js APIを使用して、悪名高い情報窃取型マルウェアであるLumma Stealerの亜種を直接メモリにロードします。
キャンペーンの継続と対策
このキャンペーンは、複数のItch.ioアカウントを管理する単一の脅威アクターによって行われていると推測されます。異なるサンプルでは、エンコーディング方法やコマンドライン技術が異なり、仮想化の検出にWMIコマンドの代わりにPowerShellを使用するものもあります。Itch.ioが悪意のあるアカウントを削除しても、新しいアカウントが引き続き出現し、キャンペーンの勢いが維持されています。
ユーザーは、Itch.ioからゲームアップデートをダウンロードする際には細心の注意を払い、コミュニティのコメントではなく、必ず公式ゲーム開発者チャンネルを通じてすべてのアップデートを確認する必要があります。セキュリティチームは、nexeコンパイルされた実行ファイルを監視し、この進行中のキャンペーンで採用されている多層的なアンチ解析技術に対する堅牢なエンドポイント検出を実装すべきです。