2026年2月から活動が確認されている新種のWindowsベースの暗号資産クリッパーが発見されました。このマルウェアは、Windows Script Host(WScript)とActiveXObjectの呼び出しを活用し、リモートコード実行と持続的かつ高頻度のデータ窃取を実現しています。
このキャンペーンの特徴は、従来のインストーラーやIPアドレスベースのコマンド&コントロール(C2)インフラを使用せず、代わりにポータブルなTorクライアントを同梱している点にあります。
すべてのC2通信はlocalhost:9050のローカルSOCKS5プロキシを経由し、JScriptベースのロジックを用いてクリップボードの内容を窃取するとともに、隠しサービスC2からランタイムコマンドを受け取る仕組みになっています。
確認された感染事例では、悪意のある.lnkショートカットファイルが初期アクセスに使用されており、USBリムーバブルメディアを介して広く拡散されています。
ユーザーがショートカットを開くと、段階的なワームコンポーネントが実行されます。このワームは正規のドキュメントに見せかけた追加の.lnkファイルを作成し、元のファイルを隠した上で、C:\Users\Public\Documents配下の5文字のフォルダに難読化されたJavaScriptペイロードを2つ投下することで感染を拡大させます。
ワームはスケジュールタスクを作成して持続性を確保します。1つは新たに接続されたUSBデバイスへの感染拡大用、もう1つは定期的にスティーラーコンポーネントを起動するためのものです。さらに、投下したペイロードの検出を回避するためにDefenderの除外設定を悪用します。
クリッパーの実行処理の大部分はスクリプト駆動で行われます。JavaScriptペイロードはWScriptとActiveXObjectを使用して環境を調査し(タスクマネージャーが実行中であれば終了するという簡易なアンチ解析チェックを含む)、隠しプロセスを起動し、名前を変更したTorバイナリ(ugate.exe)を実行します。
Microsoftの脅威インテリジェンスチームとMicrosoft Defender Expertsは、ユーザーに被害をもたらしているWindowsベースの暗号資産クリッパーを特定しました。
Torのブートストラップ完了まで約60秒待機した後、マルウェアは被害者のGUIDを生成して.onion C2に登録し、タイトなループ処理に入ります。具体的には、/route.phpへのコマンドのポーリング、約500ミリ秒間隔でのBIP39シードフレーズや秘密鍵パターンの検出、コピーされたウォレットアドレスを攻撃者管理のアドレスへの置き換え、そして/recvf.phpへのスクリーンショットの非同期アップロードを繰り返します。
Windows Scriptを悪用するクリプトクリッパー
C2がEVALコマンドを返した場合、クリッパーはランタイムに攻撃者が提供したJScriptコードを評価・実行します。これにより、金銭目的のスティーラーが実質的に軽量なバックドアへと変化します。
.lnkペイロードはUSBデバイス上の一般的なドキュメントファイル(.doc、.xlsx、.pdfなど)をスキャンし、元のファイルを隠した上で、同じファイル名の.lnkショートカットファイルを追加で作成します。
このアーキテクチャは、従来のネットワークベースの検出や無効化の取り組みを困難にします。同梱されたTorクライアント内で.onionアドレスを解決し、通信をlocalhost:9050のみに向けることで、攻撃者はDNSとIPのテレメトリの可視性を低下させています。
マルウェアは、ビーコン通信、シードや秘密鍵の窃取、ファイルアップロードのすべてに、(SOCKS5プロキシ経由のcurlを使用した)HTTP over Tor POSTリクエストを利用しています。
「3」で始まり32〜36文字の長さを持つBitcoin P2SHアドレスが検出された場合、スティーラーはそのアドレスを、元のアドレスの先頭2文字と一致する攻撃者のアドレスに置き換えます。
C2プロトコルには、ハートビート用GUID、SEED/PKEYの窃取アクション、アドレス置き換えのREPL通知、リモートコード実行用のEVALコマンドが含まれています。
防御側は行動ベースの検出を優先させる必要があります。具体的には、スクリプトインタープリター(wscript.exe、cscript.exe、wsmprovhost)が予期しない子プロセスを起動したり名前を変更したバイナリを実行する動作、localhost:9050への接続またはローカルSOCKSプロキシの作成、PowerShellやスクリプトベースの画面キャプチャコマンド、クリップボードの読み取りやアドレス置換の兆候などを監視してください。
Microsoft Defender for Endpointはこのキャンペーンの複数のコンポーネントを検出します(例:「Suspicious JavaScript process」や「Possible data exfiltration using Curl」など)。また、Microsoft Defender ウイルス対策は本ファミリーをTrojan:Win32/CryptoBandits.Aとして検出します。
推奨される緩和策としては、リムーバブルメディアのAutoRun/AutoPlayの無効化、GPOによるリムーバブルドライブからの.lnk実行のブロック、wscript.exeおよびcscript.exeの使用制限または監視、難読化スクリプトや不審な子プロセスチェーンをブロックするAttack Surface Reduction(ASR)ルールの有効化などが挙げられます。
localhost:9050上のローカルSOCKS5アクティビティを監視し、スクリプティングの動作とネットワーク、クリップボード、プロセスのテレメトリを相関させることで、資金が盗まれる前に感染を早期発見できます。
侵害の痕跡(IoC)
| インジケーター | 種別 | 説明 |
| 7630debd35cac6b7d58c4427695579b3e3a8b1cc462f523234cd6c698882a68c | SHA-256 | クリプトクリッパーワーム |
| a7abf1d9d6686af1cefcd60b17a312e7eb8cfe267def1ec34aeab6128c811630 | SHA-256 | クリプトクリッパーワーム |
| 23c1e673f315dafa14b73034a90dd3d393a984451ff6601b8be8142be6487b43 | SHA-256 | クリプトクリッパーワーム |
| cf9fc891ea5ca5ecd8113ef3e69f6f52ff538b6cccbdaa9559106fc72bc6da30 | SHA-256 | クリプトクリッパーワーム |
| 100407796028bf3649752d9d2a67a0e4394d752eb8de86daa42920e814f3fae8 | SHA-256 | クリプトクリッパーワーム |
| d14b80cbd1a19d4ad0473a0661297f8fdf598e81ff6c4ab24e212dcad2e54b3f | SHA-256 | クリプトクリッパーワーム |
| 9d90f54ae36c6c5435d5b8bed40faf54cc91f6db28574a6310b5ffaeb0362e96 | SHA-256 | クリプトクリッパーワーム |
| 67fc5cf395e28294bbb91ed0e954fdf2e80ebd9119022a115a42c286dc8bacf5 | SHA-256 | クリプトクリッパーワーム |
| 0020d23b0f9c5e6851a7f737af73fd143175ee47054931166369edd93338538a | SHA-256 | クリプトクリッパーワーム |
| 35a6bc44b176a050fd6824904b7604f0f45b0fdfa26bf9500b9e05973b387cfd | SHA-256 | クリプトクリッパーワーム |
| c824630154ac4fdfce94ded01f037c305eab51e9bef3f493c60ff3184a640502 | SHA-256 | クリプトクリッパーワーム |
| d43bf94f0cb0ab97c88113b7e07d1a4024d1610617b5ad05882b1dbab89e15ba | SHA-256 | クリプトクリッパーワーム |
| b2777b73a4c33ac6a409d475057843be6b5d32262ef28a1f1ff5bb52e3834c5f | SHA-256 | クリプトクリッパーワーム |
| 7787a9a7d8ae393aa32f257d083903c4dc9b97a1e5b0458c4cd480d4f3cb5b05 | SHA-256 | クリプトクリッパーワーム |
| f3b54984caca95fd496bcfe5d7db1611b08d2f5b7d250b43b430e5d76393f9e0 | SHA-256 | クリプトクリッパーワーム |
| 20db98af3037b197c8a846dbf17b87fc6f049c3e0d9a188f9b9a74d3916dd5e1 | SHA-256 | クリプトクリッパーワーム |
| ugate.exe | ファイル名 | ポータブルTorバイナリ |
| cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion | ドメイン | C2ドメイン |
| gfoqsewps57xcyxoedle2gd53o6jne6y5nq5eh25muksqwzutzq7b3ad.onion | ドメイン | C2ドメイン |
| he5vnov645txpcv57el2theky2elesn24ebvgwfoewlpftksxp4fnxad.onion | ドメイン | C2ドメイン |
| lyhizqy2js2eh6ufngkbzntouiikdek5zsdj3qwa22b4z6knpqorgiad.onion | ドメイン | C2ドメイン |
| j3bv7g27oramhbxxuv6gl3dcyfmf44qnvju3offdyrap7hurfprq74qd.onion | ドメイン | C2ドメイン |
| shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid.onion | ドメイン | C2ドメイン |
| 7goms4byw26kkbaanz5a5u5234gusot7rp5imzc3ozh66wwcvmcudjid.onion | ドメイン | C2ドメイン |
| facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion | ドメイン | C2ドメイン |
| wt26llpl5k6gok3vnaxmucwgzv2wk3l7nuibbh25clghrtus3p5ctsid.onion | ドメイン | C2ドメイン |
| ijzn3sicrcy7guixkzjkib4ukbiilwc3xhnmby4mcbccnsd7j2rekvqd.onion | ドメイン | C2ドメイン |
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
翻訳元: https://gbhackers.com/crypto-clipper-uses-windows-script/