新たなサイバー攻撃キャンペーンが世界中の一般消費者や中小企業を標的とし、機密性の高い暗号資産関連データを窃取すると同時に、プライバシー保護と追跡不能な取引に特化した分散型暗号資産であるモネロ(Monero)のマイニングも行っていることが分かりました。
このマルウェアキャンペーンは、サイバーセキュリティ大手Palo Alto Networksの研究部門であるUnit 42が、2026年4月に初めて検出しました。
攻撃者はまず、マルバタイジング(不正広告)を通じて被害者を、著作権で保護されたソフトウェアのクラック版を装ったファイルのダウンロードページへと誘導します。対象には、ドイツの正規ストリーミングガイドサービスであるJustWatch GmbH、そしてBleacherReport[.]comの証明書に似せたものが含まれています。
研究者らが7月7日に公開したレポートで指摘しているとおり、JustWatch自体が侵害されたわけではありません。
これらのファイルは、ファイル名に.bin拡張子を持つパスワード保護付きアーカイブとして配布されます。Unit 42はこの手法について、メールゲートウェイによるスキャンを回避し、パスワードなしでは自動サンドボックス解析による検知を防ぐための意図的な選択だと説明しています。
攻撃者はまた、プロセス列挙や、一部のセキュリティソフトウェアによる検知を防ぐためにAmsiScanBuffer関数にパッチを当てるAMSIバイパスなど、解析回避技術も用いています。
ローダーはその後、VidarインフォスティーラーとXMRig暗号資産マイナーの両方を投下・実行します。
Vidarは、ブラウザの認証情報やCookie、暗号資産ウォレットなど、被害者の環境から機密情報を窃取します。一方でXMRigは、被害者のコンピューターのプロセッサーを利用して、ネットワーク取引の検証とブロックチェーンの保護に必要な複雑な数学的問題を解くことでモネロをマイニングし、その対価として新規発行されたモネロコインを得ます。
「このキャンペーンの背後にいる運用者は、二重の収益化スキームを展開しています。犯罪者はVidarスティーラーが窃取した認証情報やセッションCookieを犯罪者向けのログ市場で売買する一方、XMRigは乗っ取った被害者のCPUサイクルから受動的な収入をもたらします」と、Unit 42の研究者らは説明しています。
Unit 42はこのローダーのサンプルを99件発見しており、いずれも攻撃者がFactory-v3フレームワークを使用した痕跡を示していました。これは、さまざまなファミリーのスティーラーマルウェアに使われることで知られるマルウェア・アズ・ア・サービス(MaaS)型のビルダーです。
このビルダーは、少なくとも2つの既知の別々のインフォスティーラー系アフィリエイトが利用する、独立した上流サービスであると評価されています。
研究者らはさらに、攻撃者がコマンド&コントロール(C2)通信にTelegramを使用していたことも突き止めました。新たな被害者が感染するたびにTelegramの運用者向け通知に「X3D MINER」というタグが表示されており、この挙動は、以前からXMRigの配布やXMRigを他のプログラムに組み込む手口が観測されている既知の脅威グループと関連づけられています。

翻訳元: https://www.infosecurity-magazine.com/news/new-campaign-vidar-stealer-monero/