Microsoftが警告を発した新たなWindowsベースの仮想通貨クリッパーは、データ窃取とリモートコード実行(RCE)の両機能を持つ軽量バックドアとしても機能します。
CryptoBanditsと名付けられたこのマルウェアは、2026年2月以降の攻撃で使用が確認されており、感染したシステム上にポータブルなTorクライアントを展開し、ローカルのSOCKS5プロキシ経由でトラフィックをルーティングします。
「このキャンペーンのクリッパーは、Windows Script HostとActiveXを利用したロジックにより、バンドルされたTorプロキシを起動し、隠しサービス上のC&Cサーバーをポーリングします。高頻度のクリップボード窃取、スクリーンショットの外部送信、ウォレットアドレスの書き換えを実行します」とMicrosoftは説明しています。
CryptoBanditsは、悪意のあるショートカット(.lnk)ファイルを通じて配布されます。感染したシステム上には2つのコンポーネントが展開されます。1つは自己拡散用のワーム、もう1つは仮想通貨ウォレット情報を盗み出すクリッパー兼スティーラーです。
拡散手法として、このマルウェアは接続されたUSBデバイスをスキャンし、正規ファイルに見せかけた悪意のあるショートカットを追加で作成します。また、Defenderのスキャン対象から除外したファイルベースのペイロードを送り込む機能も備えています。
クリッパーはWScriptとActiveXObjectを介してシステムと連携するスクリプトであり、アンチ解析の防御策としてタスクマネージャーの起動有無を確認します。永続化にはスケジュールタスクが利用されます。
CryptoBanditsは、リネームされたTorバイナリを起動してC&C(コマンド&コントロール)通信を確立し、被害者端末を登録したうえで、500ミリ秒ごとにC&Cサーバーへ指示を問い合わせるループ処理を継続的に実行します。
このマルウェアは仮想通貨ウォレットに関連するシードフレーズや秘密鍵を抽出できるほか、クリップボード内の仮想通貨アドレスを攻撃者が指定したアドレスに書き換えてハイジャックすることも可能です。
Microsoftによると、このマルウェアは多層的な難読化を採用しており、すべてのコンポーネントを実行時に復号します。インストール処理を担うPythonスクリプトとJavaScriptペイロードのいずれも難読化が施されています。
この脅威の核となるのは、バンドルされたTorクライアントです。localhost:9050経由で通信をルーティングし、宛先ドメインを内部解決することで、DNSへの露出を抑えてC&CサーバーのIPアドレスを隠蔽しています。
「このマルウェアファミリーは、匿名通信とランタイムによるタスク指示を組み合わせることで、軽量なスクリプトベースのスティーラーがいかに大きな被害をもたらし得るかを示しています。組織はスクリプト実行パスの堅牢化、ローカルSOCKSプロキシの不正利用の監視、そして振る舞い検知によるスクリプト・ネットワーク・クリップボード・プロセスシグナルの相関分析に注力すべきです」とMicrosoftは指摘しています。
翻訳元: https://www.securityweek.com/cryptobandits-malware-doubles-as-a-backdoor-abuses-tor/
