概要
マイクロソフトは、Torベースのインフラを使用してウォレットの資格情報を盗み、取引を乗っ取り、リモートアクセスを維持するWindowsの暗号通貨クリッパーキャンペーンを発見した。
テクノロジー企業のマイクロソフトは、2026年2月以降ユーザーを標的にしているWindowsベースの暗号通貨クリッパーマルウェアキャンペーンの発見を報告した。この脅威は、Microsoft Threat IntelligenceとMicrosoft Defenderの専門家によって特定されており、クリップボードの窃盗、暗号通貨ウォレットのターゲティング、リモートアクセス機能を組み合わせてデジタル資産を盗み、侵害されたシステムの制御を維持する。
このマルウェアは、ウォレットアドレス、シードフレーズ、秘密鍵などの機密性の高い暗号通貨関連情報を傍受するように設計されている。マイクロソフトによると、この脅威は主に、リムーバブルUSBドライブを通じて配布される悪意のあるショートカットファイル(.lnk)を介して拡散する。起動すると、マルウェアは持続性、データ収集、攻撃者制御のインフラとの通信を可能にする追加コンポーネントを展開する。
従来のマルウェアキャンペーンが目に見えるコマンド&コントロールサーバーに依存しているのに対し、このキャンペーンはネットワーク活動を隠すためにバンドルされたTorプロキシを使用している。マルウェアは、Windows Script HostとActiveXベースのスクリプトを通じてポータブルなTorクライアントを起動し、通信をローカルのSOCKS5プロキシにルーティングした後、隠しサービスサーバーに接続する。このアプローチにより、可視性が低減され、攻撃者は感染したデバイスへの匿名アクセスを維持できる。
攻撃は二つの主要な機能を組み合わせている:感染したファイルやリムーバブルメディアを通じて拡散する伝播コンポーネントと、暗号通貨の窃盗に焦点を当てたクリッパースティーラーコンポーネントだ。マルウェアは、正規のドキュメントを参照しているように見える悪意のあるショートカットを作成し、ユーザーが知らずに有害なコードを実行させる。さらに、持続性を維持し、システム再起動後も動作を続けるためのスケジュールされたタスクも作成する。
このマルウェアは、金融窃盗とより広範なバックドア機能を組み合わせた軽量でスクリプトベースの脅威への移行を示している。感染後、マルウェアはクリップボードの活動を継続的に監視し、暗号通貨関連のデータを検索する。ユーザーがウォレットアドレスをコピーすると、マルウェアはそれらを攻撃者制御のアドレスに置き換え、被害者が気付かないうちに取引をリダイレクトできる。
この脅威はまた、ビットコインやイーサリアムに関連する秘密鍵やBIP39シードフレーズを検索し、これらは暗号通貨ウォレットの回復に一般的に使用される。捕捉された情報はTorベースのチャネルを通じて攻撃者に送信され、スクリーンショットも収集されてウォレットの活動やアカウント残高に関する追加のコンテキストを提供する。
マイクロソフトは、このマルウェアにはリモートコマンド実行機能が含まれており、攻撃者が指示を送信し、感染したシステム上で追加のコードを実行できると強調した。これにより、単なる暗号クリッパーを超えた、さらなる悪意のある活動をサポートできる柔軟なツールへと拡大している。
セキュリティ研究者は、このキャンペーンは従来のファイルベースの検出よりも行動指標に大きく依存していると指摘している。疑わしい活動には、スクリプトエンジンによる予期しないプロセスの起動、暗号通貨アドレスの操作、PowerShellを用いたスクリーンキャプチャ、localhostポート9050を通じた異常なTorプロキシ接続が含まれる。
マイクロソフトDefender Antivirusは、このマルウェアファミリーの関連コンポーネントをTrojan:Win32/CryptoBandits.Aとして検出し、Microsoft Defender for Endpointは、疑わしいスクリプト活動、データの流出試行、異常なプロセス実行に対して追加の行動検出を提供している。
マイクロソフトは、リムーバブルメディアの脅威に対する防御を強化し、不必要なスクリプトの実行を制限し、疑わしいプロキシ活動を監視し、難読化されたスクリプトに対するセキュリティコントロールを適用するよう組織に助言した。また、クリップボード監視の動作を見直し、スクリプトツールがネットワーク通信ユーティリティと連携するシステムを調査することも推奨している。
この発見は、暗号通貨に焦点を当てたマルウェアの高度化を浮き彫りにしており、攻撃者は自動化されたウォレット盗難技術、匿名通信システム、持続的アクセス手段をますます組み合わせている。デジタル資産が金融活動により深く統合されるにつれ、セキュリティチームはウォレット資格情報の保護や暗号ターゲットの行動監視により重点を置く必要があると予想される。
893.46K 人気度
1.45M 人気度
59.38K 人気度
900.27K 人気度
1.78M 人気度
ウォレットハイジャックからリモートコントロールへ:マイクロソフトが明らかにしたWindowsユーザーを狙う新たな暗号マルウェアの波 | メタバースポスト
概要
マイクロソフトは、Torベースのインフラを使用してウォレットの資格情報を盗み、取引を乗っ取り、リモートアクセスを維持するWindowsの暗号通貨クリッパーキャンペーンを発見した。
このマルウェアは、ウォレットアドレス、シードフレーズ、秘密鍵などの機密性の高い暗号通貨関連情報を傍受するように設計されている。マイクロソフトによると、この脅威は主に、リムーバブルUSBドライブを通じて配布される悪意のあるショートカットファイル(.lnk)を介して拡散する。起動すると、マルウェアは持続性、データ収集、攻撃者制御のインフラとの通信を可能にする追加コンポーネントを展開する。
従来のマルウェアキャンペーンが目に見えるコマンド&コントロールサーバーに依存しているのに対し、このキャンペーンはネットワーク活動を隠すためにバンドルされたTorプロキシを使用している。マルウェアは、Windows Script HostとActiveXベースのスクリプトを通じてポータブルなTorクライアントを起動し、通信をローカルのSOCKS5プロキシにルーティングした後、隠しサービスサーバーに接続する。このアプローチにより、可視性が低減され、攻撃者は感染したデバイスへの匿名アクセスを維持できる。
攻撃は二つの主要な機能を組み合わせている:感染したファイルやリムーバブルメディアを通じて拡散する伝播コンポーネントと、暗号通貨の窃盗に焦点を当てたクリッパースティーラーコンポーネントだ。マルウェアは、正規のドキュメントを参照しているように見える悪意のあるショートカットを作成し、ユーザーが知らずに有害なコードを実行させる。さらに、持続性を維持し、システム再起動後も動作を続けるためのスケジュールされたタスクも作成する。
新世代の暗号盗難インフラストラクチャ
このマルウェアは、金融窃盗とより広範なバックドア機能を組み合わせた軽量でスクリプトベースの脅威への移行を示している。感染後、マルウェアはクリップボードの活動を継続的に監視し、暗号通貨関連のデータを検索する。ユーザーがウォレットアドレスをコピーすると、マルウェアはそれらを攻撃者制御のアドレスに置き換え、被害者が気付かないうちに取引をリダイレクトできる。
マイクロソフトは、このマルウェアにはリモートコマンド実行機能が含まれており、攻撃者が指示を送信し、感染したシステム上で追加のコードを実行できると強調した。これにより、単なる暗号クリッパーを超えた、さらなる悪意のある活動をサポートできる柔軟なツールへと拡大している。
セキュリティ研究者は、このキャンペーンは従来のファイルベースの検出よりも行動指標に大きく依存していると指摘している。疑わしい活動には、スクリプトエンジンによる予期しないプロセスの起動、暗号通貨アドレスの操作、PowerShellを用いたスクリーンキャプチャ、localhostポート9050を通じた異常なTorプロキシ接続が含まれる。
マイクロソフトDefender Antivirusは、このマルウェアファミリーの関連コンポーネントをTrojan:Win32/CryptoBandits.Aとして検出し、Microsoft Defender for Endpointは、疑わしいスクリプト活動、データの流出試行、異常なプロセス実行に対して追加の行動検出を提供している。
マイクロソフトは、リムーバブルメディアの脅威に対する防御を強化し、不必要なスクリプトの実行を制限し、疑わしいプロキシ活動を監視し、難読化されたスクリプトに対するセキュリティコントロールを適用するよう組織に助言した。また、クリップボード監視の動作を見直し、スクリプトツールがネットワーク通信ユーティリティと連携するシステムを調査することも推奨している。
この発見は、暗号通貨に焦点を当てたマルウェアの高度化を浮き彫りにしており、攻撃者は自動化されたウォレット盗難技術、匿名通信システム、持続的アクセス手段をますます組み合わせている。デジタル資産が金融活動により深く統合されるにつれ、セキュリティチームはウォレット資格情報の保護や暗号ターゲットの行動監視により重点を置く必要があると予想される。