Twitch.tvとは、ビデオゲームに焦点を合わせたライブストリーミングプラットフォームである。5000万人超のビューワーを抱えており、8月にAmazon.comが10億ドル近くで買収した

 我々は最近、関係するユーザから、Twitchのチャット機能を通じて宣伝されているマルウェアについての報告を受け取った。あるTwitchボットアカウントがチャネルに攻め入り、見た人に週ごとのクジに参加するように呼びかける。このクジでは「Counter-Strike: Global Offensive」のアイテムといったものを勝ち取るチャンスがある。

items (165k image)

 Twitchボットが提示するリンクはJavaプログラムに通じており、参加者の氏名、メールアドレス、当選者の氏名の公開の可否について尋ねられるが、これをどこにも保存しない。

 この偽の景品に引っかかってしまった被害者が自身の情報を入力した後、以下のメッセージが示される。

congrats (17k image)

 このメッセージの後に、マルウェアはWindowsのバイナリファイルのドロップと、以下のコマンドの実行へと進む。

  •  スクリーンショットを取る
  •  Steam上で新たなフレンドを追加する
  •  Steam上でペンディング中のフレンドリクエストを受け入れる
  •  Steam上で新しいフレンドとの取引を開始する
  •  ユーザが金を持っていたら、アイテムを購入する
  •  取引の申し出を送る
  •  ペンディング中の取引トランザクションを受け入れる
  •  アイテムを値引きしてマーケットで売り出す

 このマルウェアは当社ではEskimoと呼んでいるのだが、あなたのSteamのウォレット、武器庫、インベントリを一掃することができる。Steamコミュニティマーケットで、あなたのアイテムの投げ売りさえ行う。

 以前のバリアントでは12%引きでアイテムを販売していたが、最近のサンプルではこれを35%引きに変更したことが示されている。おそらく、アイテムがより早く売れるようにするためだ。

code_sell_discount (67k image)

 関心のないアイテムを販売できると、攻撃者が関心のあるアイテムを購入するための資金を集められるようになる。関心のあるアイテムは、続いておそらく攻撃者が保持しているアカウントへと取引がなされる。

 被害者たちはforums.steamrep.comに、自分たちのアイテムが何の見返りも無しに以下のSteamアカウントへ渡されたと報告している。

steamaccount (113k image)

 Steamでは新たなマシンからのログインや取引には適切にセキュリティチェックをかけているので、これらはすべて被害者のマシンから行われている。新たに加えられたフレンドへ複数のアイテムを渡す場合や、あるしきい値に基づいて低価格で市場にアイテムを売り出す場合など、Steamが他のセキュリティチェックも追加すると、ユーザに役立つかもしれない。以上は、この種の脅威によってなされる損壊への教訓になるだろう。