暗号通貨ウォレットを標的とする脅威アクターが、自己拡散機能を持つクリップボード窃取マルウェアを配布し、Torネットワークを使って通信を隠蔽していることが明らかになりました。
このキャンペーンは少なくとも2月から活動しており、USBドライブ上のLNK(ショートカット)ファイルを利用して、クリップボードの内容を監視し、暗号通貨ウォレットアドレスを攻撃者が管理するアドレスに置き換えるクリッパーマルウェアを展開しています。
さらに、シードフレーズや秘密鍵を監視し、Tor経由でスクリーンショットを外部に送信する機能も備えています。
感染経路とワームの拡散
Microsoftによると、感染はUSBドライブ上のLNKファイルをユーザーが開くことでマルウェアが起動するところから始まります。追加のペイロードは.ONIONアドレスから展開されます。
マルウェアはシステム内のドキュメントファイルをローカルでスキャンし、見つかった場合は元ファイルを隠蔽して、同じ名前の悪意あるショートカットに置き換えます。これにより、ユーザーがドキュメントを開こうとするたびにマルウェアが実行されます。
このワームは、新たに接続されたUSBストレージデバイスを監視するスケジュールタスクを作成します。リムーバブルドライブが接続されると、マルウェアは自身をデバイスにコピーし、追加の悪意あるショートカットファイルを作成します。
データ窃取機能
マルウェアのスティーラーコンポーネントは、タスクマネージャーが起動していないことを確認した後に実行され、Tor実行ファイル(ugate.exe)を使ってコマンド&コントロール(C2)ホストとの通信を確立します。
マルウェアは0.5秒ごとにクリップボードを監視し、以下のデータを確認します:
- 12ワードBIP39シードフレーズ
- 24ワードBIP39シードフレーズ
- イーサリアム秘密鍵
- ビットコインWIFキー
- ビットコインのレガシー、P2SH、Bech32、Taprootウォレットアドレス
- Tronウォレットアドレス
- Moneroウォレットアドレス
攻撃者が使用する差し替え先のアドレスは、冒頭の数字や文字が攻撃者のウォレットアドレスに一部似るよう選ばれており、ユーザーが一見しただけでは不正に気付きにくい仕組みになっています。
クリップボードの監視に加え、マルウェアは10秒ごとに被害者の画面を5枚スクリーンショットとして撮影し、curlツールを使ってC2に送信します。
Microsoftによると、C2からのEVAL命令によってトリガーされるリモートコード実行機能も備わっています。具体的には、マルウェアがJavaScriptコンテンツを「cfile」という名前のファイルにダウンロードし、感染端末上で実行します。
研究者らは、感染を示す最も強力な指標はシグネチャベースではなく振る舞いベースであると指摘し、wscript.exeやcscript.exeのプロセスアクティビティ、curl・PowerShell・cmd.exeの予期しない起動、異常な子プロセスを監視するよう推奨しています。
また、「localhost:9050」への接続やTorプロキシのアクティビティも、このキャンペーンに関連する危険な兆候です。
攻撃者より先に、すべての防御層をテストする
セキュリティチームが記録できる攻撃成功は54%にとどまり、アラートが発報されるのはわずか14%です。残りの攻撃は、環境内を検知されることなく進行します。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMおよびEDRのルールをどのようにテストし、脅威の検知漏れを防ぐかを解説しています。
