高度な手口を持つ脅威アクターが、ソーシャルメトリクスを操作し、取引ボットや賭けゲームの予測ツールを装った暗号資産窃取マルウェアを配布しています。
現在も続くこのキャンペーンは、自動化ツールで楽をしようとしている暗号資産投資家やオンラインギャンブラーを標的にしており、最終的に危険なクリップボードハイジャッカーをダウンロードさせる手口です。
攻撃者は大量の人工的なエンゲージメントを活用することで、正規ツールと見紛うほどの信頼性を演出し、情報に不慣れなユーザーを騙したり、評判ベースのセキュリティスキャナーを回避したりしています。
これらの悪意あるツールを高評価な正規品に見せかけるため、脅威アクターは中央集権型のWordPressフィッシングサイトを運営し、操作されたコンテンツを複数のプラットフォームに渡って配信しています。
このサイトでは、新規ミームコインの購入に使えるSolanaスナイパーボットや、人気オンラインクラッシュゲームの予測ツールなど、偽のアプリケーションが宣伝されています。
被害者は通常、暗号資産フォーラム、ソーシャルメディア、そして「@JoseCmanXD」というエイリアスに関連するTelegramチャンネルでスパム投稿されたリンクを通じて、このページへと誘導されます。
攻撃者は「ゴーストネットワーク」と呼ばれる手法を使い、偽アカウントや乗っ取りアカウントを展開してウェブ全体で不正なエンゲージメントを生成することで、ツールの人気を人工的に底上げしています。
たとえば、マルウェアをトレンドのオープンソースプロジェクトのように見せかけるため、GitHubリポジトリのスターやフォーク数を数千件単位で水増しするといった手口が使われています。
また、SourceForgeのダウンロード統計を44,000件以上に水増しし、組織的にポジティブなレビューを投稿することで、新たな訪問者を欺いています。
こうした人工的なエンゲージメントはYouTubeにも及んでおり、AIが生成したナレーターによるチュートリアル動画をアップロードし、急激な再生数の増加やボットによる好意的なコメントで盛り上がっているように見せています。
さらに攻撃者は、偽アカウントに無害票の投票や「安全」コメントの投稿をさせることでVirusTotalのスコアも操作し、評判ベースのセキュリティフィルターを回避しています。
見せかけの信頼性を裏付ける偽の実績として、正規のニュースサイトやBitcoinTalkなどの老舗暗号資産フォーラムにプロモーション記事を仕込むことまで行っています。
悪意あるダウンロードを大量の偽のソーシャルプルーフで取り囲むことで、脅威アクターはツールを調べようとした潜在的な被害者が目にする情報をすべて肯定的なものにしています。
巧妙なマーケティング工作の裏に潜んでいるのは、WindowsとmacOSの両方を標的とした非常に効果的な脅威です。被害者に実際に届くペイロードは、Rustで書かれたクリップボードハイジャッカーです。
ユーザーが約束された取引ボットやゲーム予測ツールをダウンロードすると、無害なおとりファイルとともに隠されたローダーが含まれたZIPアーカイブを受け取ることになります。
Checkpoint Researchの調査によると、感染チェーンと窃取の仕組みは、ユーザーのオペレーティングシステムに応じていくつかの異なるフェーズで動作します。
Windowsでは、被害者がシンプルな.NETローダーを実行すると、Rustマルウェアが密かに起動し、スタートアップフォルダーに永続化が確立されます。
macOSでは、テキストファイルを通じて「アンロッカー」スクリプトを実行するよう被害者が誘導されます。このスクリプトはAppleのGatekeeperによる検疫属性を積極的に除去し、隠されたペイロードをスムーズに実行させます。
マルウェアは一度起動するとバックグラウンドで目に見えない形で動作し続け、暗号資産ウォレットのフォーマットに一致するテキストがないかシステムのクリップボードを常時監視します。
被害者が正規の取引を行うためにウォレットアドレスをコピーすると、マルウェアは即座にそのアドレスを攻撃者が管理するアドレスに差し替えます。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化(例:[.])されています。元に戻す操作は、MISP、VirusTotal、SIEMなどの管理されたスレットインテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/ghost-networks-boost-crypto-malware/
