高度な暗号資産クリッパーマルウェアによるキャンペーンが、2026年2月からWindowsシステムへの侵害を続けています。
標準的なIPベースのコマンド&コントロール(C2)サーバーに依存する従来型の情報窃取マルウェアとは異なり、このマルウェアはポータブルTorクライアントとローカルSOCKS5プロキシを使用しています。
これにより、金銭的動機に基づくデータ窃取ツールが、従来のネットワーク防御を回避できる軽量なリモートバックドアへと変貌します。
このマルウェアは、USBストレージデバイス上の悪意あるショートカット(.lnk)ファイルを介して配布されます。
被害者がショートカットをクリックすると、マルウェアは2つの異なるコンポーネントを展開します。感染拡大を担うワームと、暗号資産ウォレット情報を収集するスティーラーです。
この二段構えのアプローチにより、マルウェアは未感染の他のUSBドライブへ拡散しながら、バックグラウンドで高価値な金融データをひそかに抜き取ることができます。
最初の侵入は、感染したUSBドライブ上の一見正規のドキュメントファイルをユーザーが開いた際に発生します。悪意あるスクリプトは、システムがすでに感染済みかどうかを確認します。
未感染の場合は、Tor経由で暗号化されたペイロードをダウンロードします。マルウェアは難読化されたJavaScriptファイルをパブリックドキュメントフォルダに配置し、再起動後も動作が継続するようスケジュールタスクを作成します。
スティーラーコンポーネントは、Windows Script HostとActiveXオブジェクトを利用してオペレーティングシステムと対話します。500ミリ秒ごとにクリップボードを監視する連続ループで動作し、価値あるデータを探し続けます。このマルウェアが特に標的とするのは以下の通りです。
ユーザーが正規の暗号資産アドレスをコピーすると、マルウェアはそれを巧みに攻撃者が管理するアドレスへとすり替えます。
脅威アクターにさらなる情報を提供するため、マルウェアは被害者のデスクトップのスクリーンショットも複数枚撮影し、隠されたC2サーバーへ非同期でアップロードします。
C2からの指示があれば、マルウェアは任意のリモートコードを実行することも可能で、脅威レベルは標準的なクリッパーをはるかに超えます。
Microsoftによると、このキャンペーンで最も注目すべき点はその巧妙なネットワーク通信にあります。標準的なWebドメインに接続する代わりに、マルウェアはugate.exeという名前に変更されたTorバイナリを配置します。
これにより、すべてのネットワークトラフィックがローカルIPアドレスのlocalhost:9050を経由するようになります。curlコマンドを使用して盗んだデータを.onionドメインへ送信することで、最終的な通信先を隠蔽し、従来のDNSベースのブロッキング手法を無効化します。
このマルウェアはPyArmorやPyInstallerなどのツールを用いた多層難読化を採用しています。さらに、Windowsタスクマネージャーの起動を検出すると実行を停止する、基本的なアンチ解析チェック機能も備えています。
このシンプルながら効果的な手口が、セキュリティ研究者による手動トリアージ作業を遅延させます。
注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化(例:[.])されています。MISP、VirusTotal、SIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ元の形式に戻してご使用ください。
翻訳元: https://cyberpress.org/tor-proxy-malware-control/
