btzgrp
  • 人工知能がコールセンターを次のレベルへ導く - TechRepublic
Headlines

この新しいマルウェアは、暗号通貨の支払いを攻撃者が管理するウォレットに転送します - TechRepublic

05 mins
この新しいマルウェアは、暗号通貨の支払いを攻撃者が管理するウォレットに転送します - TechRepublic
ノートパソコンのウイルス、マルウェア、またはネットワークの脆弱性ベクトル
画像: ~ Bitter ~/Adobe Stock

クリッパーマルウェアとは何ですか?

クリッパー型マルウェアは、コンピュータ上で実行されると、ユーザーのクリップボードの内容を継続的にチェックし、暗号通貨ウォレットを探すソフトウェアです。ユーザーがウォレットをコピー&ペーストすると、サイバー犯罪者が所有する別のウォレットに置き換えられます。

この方法では、疑いを持たないユーザーが任意のインターフェースを使用してウォレットに暗号通貨の支払いを送信した場合 (通常は正当な送信先ウォレットをコピーして貼り付けることにより行われます)、その支払い先ウォレットは不正なウォレットに置き換えられます。

参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)

クリッパーマルウェアは新しい脅威ではありませんが、ほとんどのユーザーや企業には知られていません。最初のクリッパーマルウェアは2017年にWindowsオペレーティングシステム上で出現しました。同様のマルウェアは2019年にGoogle Playストアにも登場しました。このマルウェアは、人気の暗号資産ウォレットであるMetaMaskを偽装し、認証情報と秘密鍵を盗んで被害者からイーサリアム資産を盗み出すだけでなく、クリップボード内のウォレットを変更してより多くの暗号資産を取得することを目的としていました。

クリッパー攻撃は、暗号通貨ウォレットの長さゆえに非常に効果的です。暗号通貨をウォレット間で移動させる人は、コピー&ペーストの結果が正当な受信者から提供されたものであることをほとんど確認しません。

Keona Clipperとは何ですか?

Cyble の研究者は、開発者によって Keona Clipper と名付けられた新しい Clipper マルウェアを分析しました (図 A )。

図A

画像: Cyble。ロシア語圏のダークウェブフォーラムで宣伝されていたKeona Clipperマルウェア。

このマルウェアは、1 か月あたり 49 ドルのサービスとして販売されています。

Keona Clipperは.NETプログラミング言語で開発され、Confuser 1.xによって保護されています。このツールは、シンボル名の変更、制御フローの難読化、定数とリソースの暗号化、デバッグ、メモリダンプ、改ざん、逆コンパイラの無効化などの対策を講じることで、.NETアプリケーションを保護し、リバースエンジニアによる解析を困難にします。

Cybleの研究者は、2022年5月以降、90種類以上のKeonaサンプルを特定しており、広範囲に展開されていることを示しています。これらのKeonaサンプルの違いは、コードのわずかな変更によるものかもしれませんし、Confuserプロテクターを複数回使用した結果かもしれません。Confuserプロテクターは、ファイル署名のみに基づくセキュリティソリューションによる検出を回避するために、サンプルが送信されるたびに異なるバイナリを生成します。

Keona Clipperのマルウェア機能

実行されると、マルウェアはTelegram APIを介して、攻撃者が制御するTelegramボットと通信します。マルウェアからボットへの最初の通信には、ロシア語で書かれたメッセージ(「コンピュータでクリッパーが起動しました」と翻訳可能)と、マルウェアが使用しているアカウントのユーザー名が含まれています。

このマルウェアは、コンピュータが再起動しても常に実行されるように設定されています。永続性を確保するため、マルウェアは管理ツールフォルダやスタートアップフォルダなど、複数の場所に自身をコピーします。また、Windowsレジストリに自動起動エントリを作成し、コンピュータが再起動するたびにマルウェアが実行されるようにしています。

Keona Clipperは、クリップボードのアクティビティを静かに監視し、正規表現を使用して仮想通貨ウォレットの有無を確認します。Keona Clipperは、BTC、ETH、LTC、XMR、XLM、XRP、NEC、BCH、ZCASH、BNB、DASH、DOGE、USDT、TRC20、ADAなど、12種類以上の仮想通貨を盗むことができます。

ウォレットが見つかった場合、クリップボード内のウォレットは、脅威の攻撃者が提供したウォレット アドレスに直ちに置き換えられます。

Cybleのスクリーンキャプチャには、脅威アクターが管理するビットコインウォレットが示されています。このウォレットには60件の取引が紐付けられており、合計金額は約450ドルです(図B)。

図B

画像:Cyble。攻撃者が管理するビットコインウォレットの取引詳細。

この金額は少額に思えるかもしれませんが、攻撃者は複数の種類の暗号通貨をそれぞれ異なるウォレットで管理することがよくあります。したがって、この金額は攻撃者の金銭的利益の一部に過ぎないと考えるべきです。

この脅威から身を守る方法

暗号通貨で行われるすべての支払いは、慎重に確認する必要があります。ユーザーは、コピー&ペースト操作の結果と販売者が提供したウォレットを比較することで、取引の宛先として使用されているウォレットを視覚的に確認する必要があります。

ウォレットの秘密鍵とシードは、いかなるデバイスにも安全でない状態で保管しないでください。可能であれば、別のストレージデバイスまたは物理的なハードウェアウォレットに暗号化して保管してください。

脅威を検知するために、セキュリティ製品の導入が必要です。Keonaの最初の感染経路は不明ですが、メールが感染経路である可能性が疑われるため、メールベースのセキュリティ対策を導入する必要があります。また、メール詐欺やフィッシングに対するユーザーの意識向上も必要です。

最後に、オペレーティングシステムとそこで実行されるすべてのソフトウェアは常に最新の状態に保たれ、パッチが適用されている必要があります。一般的なエクスプロイトを利用してマルウェアがシステムにドロップされ、実行された場合、パッチが適用されたシステムは脅威を阻止できる可能性が非常に高くなります。

開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。

Tagged:

Related News