Silent Swapクリプト・クリッパー拡張機能、Chromiumブラウザでウォレットアドレスを乗っ取る

McAfee Advanced Threat Researchのサイバーセキュリティ研究者らは、取引中にウォレットアドレスをひそかに書き換えることで暗号資産を盗み取る、活発なマルウェアキャンペーンを発見しました。

この攻撃は、無害な「Google Notes」アプリケーションを装った悪意ある拡張機能を使用し、Google Chrome、Microsoft Edge、Brave、Operaを含むChromiumベースのブラウザを標的にしています。

このキャンペーンは、以前報告されたCountLoaderマルウェアと同じ脅威アクターによって運用されているとみられています。

クリプトクリッパーを直接メモリに注入していた以前のバージョンとは異なり、この新しい亜種はブラウザ拡張機能を利用してクリップボードの動作を静かに傍受し、ユーザーが取引所やウォレットに貼り付ける前に、コピーされた暗号資産ウォレットアドレスを書き換えます。

ブロックチェーン取引は取り消しができないため、被害者は取引が完了してしまうと通常、盗まれた資金を取り戻すことができません。

攻撃は、.NET版とGolang版の両方で配布される未署名のインストーラーから始まります。マルウェアは公式のブラウザストアを経由して拡張機能をインストールする代わりに、Chromiumの設定ファイルを直接改変し、自身の拡張機能を強制的にインストールします。

このインストーラーは、Secure PreferencesやPreferencesといった、通常は不正な改変を検知するための整合性チェック機能を備えたブラウザファイルを標的にします。マルウェアは悪意ある拡張機能を挿入した後にこれらのセキュリティ値を再計算し、ブラウザに変更が正当なものであると信じ込ませます。

古いバージョンのChromiumベースブラウザを使用しているユーザーの場合、この拡張機能は静かに読み込まれます。新しいバージョンのChromeやEdgeでは、拡張機能が有効化される前にデベロッパーモードを有効にする必要があります。

研究者らは、攻撃者がソーシャルエンジニアリングによって被害者にこの設定を有効にさせる可能性があると警告しています。この拡張機能はGoogle Notesという名前のシンプルなメモ作成ツールを装っています。実際に動作する基本的なインターフェースまで用意されているため、開いたユーザーが不審に思う可能性は低くなります。

しかしその裏側では、隠されたバックグラウンドスクリプトがクリップボードの動作やブラウザのページを常時監視しています。こうした権限により、事実上あらゆるウェブサイト上での暗号資産取引を監視できるようになっています。

このキャンペーンの最も高度な特徴の一つは、コマンド&コントロール(C2)インフラを隠すためにブロックチェーン技術を利用している点です。

マルウェア内にC2ドメインをハードコードして保持する代わりに、拡張機能は公開されているEthereumのリモートプロシージャコール(RPC)エンドポイントに接続し、スマートコントラクトに問い合わせます。このスマートコントラクトはエンコードされた値を返し、実行時にデコードされて攻撃者が管理する稼働中のドメインとなります。

研究者らは分析中に、Zebregts[.]comdevops-offensive[.]ccといったドメインが解決される様子を観測しました。

一般にEtherHidingとして知られるこの手法により、攻撃者はマルウェア自体を改変することなく、スマートコントラクトを更新するだけでバックエンドインフラを変更できます。

その結果、従来のドメインベースの検知やテイクダウンの取り組みが大幅に困難になっています。

McAfeeが収集したテレメトリデータによると、感染は世界中で確認されており、中でもインドで感染システムの集中度が最も高くなっています。研究者らは、このキャンペーンが特定の地域を狙うのではなく、機会主義的に暗号資産ユーザーを標的にしていると見ています。

このインストーラーにはほかにも複数のステルス技術が組み込まれています。インストール後に自身を削除する機能、実行ファイル内に直接埋め込まれた設定データ、.NET版とGolang版の両方への対応、そしてブラウザのセキュリティ警告を回避するために端末固有の識別子を用いてブラウザの整合性署名を再計算する機能などです。

翻訳元: https://cyberpress.org/silent-swap-hijacks-wallets/

ソース: cyberpress.org