仕掛けられた「ツール」を偽のGitHubスター、水増しされたダウンロード数、AIナレーションのYouTubeチュートリアルで着飾り、見せかけの人気を演出することで拡散する暗号資産窃取マルウェアキャンペーンが確認されています。
Check Point Researchによる新たな分析により、この攻撃はRust製のクリップボードハイジャッカー、すなわちコピーした暗号資産ウォレットアドレスを攻撃者のものとすり替える「クリッパー」によるものであることが判明しました。WindowsとmacOSの両方向けに開発されています。
罠のエサとなるのは、手っ取り早い利益を約束する「裏技」ツールや、クリプトスナイパーボット、クラッシュギャンブルゲームの結果を予測すると称する「プレディクター」などです。近道を求めるトレーダーやギャンブラーをターゲットとしており、WordPressを使ったフィッシングページが拠点となって被害者をダウンロードへと誘導します。
信頼の偽造
このキャンペーンが際立っているのは、正規のツールに見せかけるための周到な工夫にあります。Check Pointによると、攻撃者は複数のプラットフォームで「ゴーストネットワーク」と呼ばれる偽アカウント群を活用し、社会的信頼性を人工的に作り上げていました。具体的には以下のとおりです。
-
6つ以上のGitHubアカウント(リポジトリには偽のスターとフォークを水増し)
-
SourceForgeプロジェクトで44,485件のダウンロードを表示(Androidビルドは存在しないにもかかわらず、大半はAndroidデバイスからのもの)
-
AIが生成したナレーター、偽の再生数急増、組織的な称賛コメントを活用したYouTubeチャンネル
-
「安全」という評価とコメントを意図的に投稿したVirusTotalのエントリー
なかでもVirusTotalを悪用する手口は特に巧妙です。Check Pointは、仕込まれた「安全」評価とウイルス対策ソフトの低い検知率が組み合わさることで、レピュテーションベースの防御機構をすり抜けてしまう可能性があると警告しています。
攻撃者は正規のニュースサイトにも宣伝投稿を仕込んでおり、有料と思われるものもあれば、侵害されたメディアサイトに掲載されたと見られるものもあります。
クリップボードハイジャッカーについて詳しく読む:新たなSilabRATトロイの木馬がセッションを乗っ取り暗号資産を窃取
マルウェアの動作
マルウェア自体の動作はシンプルです。被害者が偽のツールを実行すると、ローダーがRustクリッパーを起動し、クリッパーは永続化のために自身をコピーしてスタートアップに登録されます。
その後、クリッパーはクリップボードを監視し、暗号資産ウォレットアドレスらしき文字列を検出すると、埋め込まれた15,500件以上のアドレスリスト(大半はビットコイン)から選んだ攻撃者のウォレットアドレスに静かにすり替えます。
macOS版にはソーシャルエンジニアリングの仕掛けも加わっています。同梱の「アンロッカー」スクリプトがユーザーをステップごとに誘導し、Appleの隔離フラグを解除してGatekeeperを回避させ、署名のないアプリを実行させる仕組みになっています。
両バージョンとも執拗な永続化機構を備えており、macOS版は30秒ごとに起動するウォッチドッグが自身を上書きしてバイナリを複製することで、手動での削除にも耐えるよう設計されています。
Check Pointはこのケースを、攻撃者が信頼を構築する手法の転換点として位置づけています。マルウェアを隠すのではなく、肯定的なシグナルで囲い込むことで、被害者がファイルを実行する頃には普通のアプリと変わらない印象を与えるのです。
「これらの手口は、情報窃取型マルウェアやその他のマルウェアファミリーを配布・宣伝する別の攻撃者グループにも悪用される可能性があります。より成熟した環境では、最終的にはランサムウェアによる完全な侵害へとつながりかねません」と同社は警告しています。
「言い換えれば、偽のレピュテーションと広範な宣伝という同じ手法が、より破壊的なペイロードを届けるために繰り返し流用される可能性があるということです。」
翻訳元: https://www.infosecurity-magazine.com/news/crypto-clipboard-hijacker-fake/
