新しいマルウェアが暗号資産ウォレットを標的にしてビットコインを盗む - U.Today

最近の報告によると、新しいマルウェアはClickFixソーシャルエンジニアリング戦術を使用しており、これはユーザーがCAPTCHAを完了するかシステムの問題を修正するという名目の下でコマンドを実行するように騙されるフィッシング手法です。

悪意のある行為者は主に暗号通貨ユーザーを狙っていますが、ブラウザ、メッセージングアプリ、FTPクライアント、そしてメールアカウントもターゲットにしています。

このキャンペーンは、ソーシャルエンジニアリングと高度なマルウェア配信を組み合わせており、検出を回避できるため危険です。

ACR (AcridRain) Stealerから進化したもので、以前はマルウェア・アズ・ア・サービス(MaaS)モデルを介して2024年半ばまで販売されていました。現在はサブスクリプションを通じて販売されています。

ユーザーはCAPTCHAを完了するという名目のもと、Windowsの実行コマンドを実行するように騙されます(ClickFix)。

このキャンペーンは、偽の請求書やVBS添付ファイルを含む広範なフィッシングエコシステムの一部です。偽のClickFixページ(SmartApeSGキャンペーン)に訪問者を誘導し、NetSupport RATを配信します。

また、偽のBooking.com CAPTCHAや、偽の配信通知を含む内部メールアラートがあり、これらは被害者にリンクをクリックさせてログイン資格情報を盗むように促します。

高価値ターゲット

暗号通貨ウォレットには直接移転可能な資産が含まれているため、暗号ウォレットは高価値ターゲットと見なされます。マルウェアはウイルス対策、EDR、サンドボックスを回避します。攻撃者は貴重な暗号データを持つマシンにのみRATを展開します。

一度盗まれると、仲介者なしで数分以内に世界中に転送できます。

銀行口座とは異なり、暗号取引は取り消し不可能ですので、一度攻撃者が秘密鍵を持ってしまうと、被害者は通常資金を回復することができません。

1つの侵害されたウォレットは、数十万ドル、さらには数百万ドルを生み出す可能性があります。

Amatera Stealerのようなマルウェアは、暗号ウォレットファイル、ブラウザウォレット、プライベートキーを検出し、抽出するために特別に設計されています。