偽のChrome拡張機能で暗号資産を窃取する「Silent Swap」

McAfeeの研究者が、悪意のあるブラウザ拡張機能を使用してデジタル資産を窃取する暗号資産窃盗キャンペーンを発見しました。

「Silent Swap」と名付けられたこのキャンペーンは、Googleノートのブラウザ拡張機能に偽装し、取引中に暗号資産のウォレットアドレスをひそかに書き換えることで、資金を攻撃者へと横流しします。

Silent Swapの要点まとめ

• Silent Swapは偽のGoogleノートブラウザ拡張機能に偽装し、取引中に暗号資産のウォレットアドレスをひそかに置き換えます。
• Chromiumのセキュリティ保護を回避し、ブロックチェーンベースのC2インフラ（EtherHiding）を活用することで、検出やテイクダウンを困難にしています。
• 悪意のある拡張機能は、すべてのウェブサイトへのアクセス、クリップボードデータ、閲覧履歴など、過剰なアクセス許可を要求します。
• 暗号資産の取引は一般的に取り消し不可能なため、被害者は1回の不正取引によって資金を永久に失う可能性があります。
• 公式ブラウザストアからのみ拡張機能をインストールすること、拡張機能のアクセス許可を確認すること、暗号資産送信前にウォレットアドレスを確認することが、被害リスクの軽減に有効です。

Silent Swap拡張機能による暗号資産窃取の仕組み

McAfeeの研究者によると、Silent Swapは.NETとGolangの両方で書かれた署名なしのインストーラーを通じて配布されます。

インストーラーが実行されると、シンプルなメモ帳アプリを装った悪意のあるChromium拡張機能がひそかに展開されます。

この拡張機能は基本的なメモ帳ツールとして機能しますが、悪意のある機能はバックグラウンドスクリプトを通じて陰で動作しています。

ユーザーに不審な動作を見せることなく、クリップボードのアクティビティと暗号資産取引をひそかに監視し続けます。

マルウェアは、ユーザーが暗号資産のウォレットアドレスをコピーした際に動作を開始します。

アドレスが取引画面に貼り付けられる前に、拡張機能はそれを攻撃者が管理するウォレットアドレスへと置き換えます。

ブロックチェーンの取引は一般的に取り消し不可能なため、被害者は気づかないまま資金をサイバー犯罪者に直接送金してしまう可能性があります。

Silent Swapによる検出回避の手口

McAfeeの研究者は、このキャンペーンを従来の暗号資産クリッパーと区別するいくつかの技術を特定しました。

特筆すべき機能の一つは、Chromiumブラウザのセキュリティメカニズムを巧みに操作する点です。

標準的なブラウザ拡張機能のインストール方法に頼るのではなく、インストーラーは保護されたブラウザの設定ファイルを改ざんし、整合性検証値を再計算します。

これにより、悪意のある拡張機能が正規にインストールされたかのように見せかけることができます。

研究者たちは、ChromeおよびMicrosoft Edgeの新しいバージョンでは、拡張機能を読み込む前にユーザーが開発者モードを有効にする必要があり、追加の保護層として機能していると指摘しています。

ただし、攻撃者はソーシャルエンジニアリングを通じて被害者にこの設定を有効にさせようとする可能性があり、古いChromiumベースのブラウザを使用しているユーザーはより大きなリスクにさらされています。

もう一つの革新的な手口は、コマンド＆コントロール（C2）インフラの特定にブロックチェーン技術を活用している点です。

マルウェア内にC2ドメインをハードコードするのではなく、拡張機能は実行時に公開ブロックチェーンのスマートコントラクトに問い合わせることで、アクティブなサーバーアドレスを取得します。

「EtherHiding」と呼ばれるこの技術により、攻撃者は新たなマルウェアを配布することなくブロックチェーンデータを更新するだけでインフラを切り替えられるため、テイクダウンの取り組みやネットワークベースの検出がより困難になります。

Silent Swap拡張機能が過剰なアクセス許可を要求する理由

この拡張機能はGoogleノートを装っていますが、要求するブラウザのアクセス許可はメモ帳アプリに必要な範囲をはるかに超えています。

研究者たちは、この拡張機能がユーザーの訪問するすべてのウェブサイトへのアクセス、クリップボードへの読み書きアクセス、ユーザーの閲覧履歴へのアクセス許可を要求していることを確認しました。

これらのアクセス許可により、マルウェアはほぼあらゆるウェブサイトでコピーされたウォレットアドレスを監視し、暗号資産取引中に攻撃者が管理するアドレスへとひそかに置き換えることが可能になります。

検出を避けるSilent Swapの持続性とステルス機能

研究者たちはまた、検出を最小限に抑えながらマルウェアをアクティブな状態に保つために設計された、複数の持続性・回避メカニズムについても詳述しています。

レジストリのRunキーやスケジュールタスクといった従来のWindows持続性メカニズムを作成するのではなく、マルウェアはChromiumの拡張機能設定に直接組み込まれ、ブラウザ起動のたびに自動的に読み込まれます。

インストーラーは実行後に自己削除し、ディスク上のフォレンジック証跡を最小化します。

一方、表に見える拡張機能は無害な生産性ツールとして見え続けるため、ユーザーがその動作を調査する可能性が低くなります。

McAfeeの分析では、バックエンドが置き換えるウォレットアドレスを動的に割り当てていることも判明しました。

Bitcoin、Ethereum、Bitcoin Cash、Ripple、Dashなど複数の主要な暗号資産について、マルウェアは各被害者のオリジナルウォレットアドレスをサーバーで管理される攻撃者制御のアドレスに一貫してマッピングします。

ただし、テスト中、Solanaのアドレスは単一の攻撃者ウォレットにリダイレクトされました。

McAfeeが収集したテレメトリデータによると、感染は世界中に分散しており、インドで最も高い感染集中が観測されています。

研究者たちは、このキャンペーンは特定の地域を狙うのではなく、暗号資産ユーザーを機会主義的に標的にしていると見ています。

Silent Swap暗号資産マルウェアからの身を守る方法

McAfeeは、ブラウザベースの暗号資産クリッパーへの露出を減らすためにいくつかの手順を推奨しています。

• 取引を承認する前に、できれば別のデバイスを使用して、暗号資産ウォレットアドレスの最初と最後の数文字を確認すること。
• 公式ブラウザマーケットプレイスからのみブラウザ拡張機能をインストールすること。
• 拡張機能のアクセス許可を確認し、不要なアクセスを要求するものは削除すること。
• 信頼できないソースからダウンロードした署名なしまたはクラックされたソフトウェアの実行を避けること。
• ブラウザとエンドポイントソリューションを常に最新の状態に保つこと。

Silent Swapは、攻撃者が信頼されたソフトウェア、ブラウザの操作、ブロックチェーンインフラを組み合わせることで、暗号資産の窃取を検出しにくくしている実態を示しています。