近年、マルウェアの設計において、目立つコマンド&コントロール(C2)インフラを避ける傾向が強まっています。その代わりに、匿名ネットワークの奥深くへ攻撃者との通信を巧みに隠蔽する手法が採用されています。こうした戦術的進化の典型例として、Microsoftが暗号資産保有者を標的とした高度な攻撃キャンペーンを詳細に分析・報告しました。
脅威の全体像
同社のサイバーセキュリティ専門家によると、攻撃者は2026年2月から高度な「クリッパー」マルウェアを拡散させています。このマルウェアは、暗号資産ウォレットのアドレスを改ざんし、機密性の高いデータを窃取することを目的として設計されています。この巧妙な攻撃の最大の特徴は、マルウェアに組み込まれたTorクライアントです。これにより、Torの隠れたサービスを通じてコマンドサーバーとの秘密通信チャネルを確立することが可能となっています。さらに、リモートから送信された任意のコマンドを実行する能力も備えています。
初期感染経路として主に悪用されるのは、侵害されたUSBストレージデバイスです。悪意あるWindowsショートカット(LNK)ファイルがフラッシュドライブ上に意図的に配置されます。このショートカットが実行されると、ホストがすでに侵害されているかどうかを確認するためのシステム診断が素早く行われます。侵害されていない場合は、追加の悪意あるペイロードがひそかにダウンロードされます。その後、ワームはドライブ上の正規ドキュメントを隠蔽し、同じ名前を持つ偽のショートカットを生成します。その結果、何も疑わないユーザーは通常のPDFやDOCXファイルを開いていると思い込みますが、実際には悪意あるコードを実行させられています。
このマルウェアは2つの主要モジュールで動作しています。第1のモジュールはワームの横展開を制御し、リムーバブルメディアへの継続的な拡散を担います。また、スケジュールタスクを操作することで、感染システム内での持続性も確立します。第2のモジュールはクリッパーの中核機能を担います。システムのクリップボードを絶えず監視し、暗号資産ウォレットの機密データを収集して攻撃者へ送信します。
検出回避と攻撃手法
詳細なレポート(クリッパーがTorのワーム的拡散を利用して持続性と制御を確保)に記載されているとおり、実行後の動作は高度に組織化されています。マルウェアは偽装したTorクライアントを起動し、一意の感染者識別子を生成してコマンド&コントロールサーバーに正式登録します。登録後はリモートからの指示を継続的に待ち受け、クリップボードを約1秒に2回チェックしながらシードフレーズ、秘密鍵、ウォレットアドレスを探し続けます。暗号資産アドレスを検出した場合は、そのアドレスを攻撃者が管理するアドレスにひそかに置き換えることができます。さらに、定期的にスクリーンショットを撮影し、Torネットワーク経由で送信します。
Microsoftの研究者によると、このクリッパーはWindows Script HostとActiveXコンポーネントを活用してオペレーティングシステムと深く連携しています。高度な検出回避能力の一例として、Windowsタスクマネージャーの起動を検知するとマルウェアは直ちに動作を停止します。さらに、コマンドサーバーが特定の「EVAL」指示を送信した場合、攻撃者が提供した任意のコードを実行時に動的に実行することも可能です。
防御強化に向けた推奨策
この巧妙な脅威への防御を強化するため、Microsoftは従来のシグネチャベースの検出のみに頼るのではなく、振る舞い分析へのシフトを強く推奨しています。具体的には、すべてのリムーバブルメディアに対してAutoRunおよびAutoPlayの機能を無効化することを提案しています。また、管理者はグループポリシーを活用して、外部ドライブからのLNKファイルの実行を明示的に禁止すべきとしています。加えて、wscript.exeおよびcscript.exeの使用を制限しつつ、クリップボードの操作や不正なスクリーンキャプチャに関する異常な活動を注意深く監視することも求められます。
翻訳元: https://meterpreter.org/crypto-clipper-utilizing-tor/
