ハッカーが盗んだウォレットデータベースとキーチェーンパスワードを組み合わせ、オフラインで暗号資産窃取を試みる

macOSを標的とする情報窃取マルウェアが、盗んだウォレットデータベースをApple Keychain、ブラウザ、Apple Notesから収集した認証情報と組み合わせ、オフラインでの暗号資産窃取を試みていることが分かりました。

セキュリティ監視システムMistEyeが検出したこのマルウェアは、単一の標的を狙うというより、広範なデータ収集を目的として設計されているとみられます。

セキュリティ監査サービス

収集対象にはmacOSのKeychainファイル、Safari・Chromium系ブラウザのデータ、Telegramデスクトップ版のセッション、Apple Notes、そしてElectrum、Exodus、Atomic、Wasabi、Monero、Bitcoin Core、Ledger Live、Trezor Suiteといったウォレットアプリケーションのローカルデータが含まれます。

ここで重大なのは、コピーされたウォレットデータベースがそのまま読み取れるわけではないという点です。ほとんどのウォレットアプリケーションは機密データをローカルで暗号化しています。

しかしこのマルウェアは、暗号化解除に使えそうな情報も同時に収集します。これにより、攻撃者は被害者のMacに直接アクセスすることなく、盗み出したウォレットデータに対して盗んだパスワードを繰り返し試すという、効果的なオフライン攻撃チェーンを構築できてしまいます。

SlowMistは、Atomic Walletのデータを使ってこの一連の手口を再現しました。同ウォレットのLevelDBストレージはAES-256-CBCで保護されており、機密情報を復号するにはユーザーのウォレットパスワードが必要です。研究者らは隔離環境で盗まれたウォレットデータを復元しました。

そして、Keychain、ブラウザのパスワードストア、Apple Notesから得た候補パスワードを試したところ、そのうちの1つでウォレット資産を制御可能な情報のロック解除に成功しました。

この手法は、オンラインでのパスワード総当たり攻撃が抱える現実的な制限を回避します。攻撃者は暗号化されたウォレットデータベースと、可能性の高いパスワード群さえ手に入れれば、自分のペースで復号を試みられるのです。

リカバリーフレーズや秘密鍵がすでに抜き取られている場合、ウォレットアプリを再インストールしたりパスワードを変更したりしても、資産は守れません。

このマルウェアはまた、「Google API Connector」のアップデートを装った偽の管理者権限プロンプトを使い、被害者のmacOSパスワードを窃取します。

入力された認証情報は、macOSの認証ユーティリティdsclを使って検証されます。これにより攻撃者は、正規のログインパスワードなのか、単なるでたらめな入力なのかを見分けることができます。

SlowMistがGBhackersと共有したレポートによると、このマルウェアはmacOSのKeychainからChrome Safe Storageのシークレットも取得しようとします。これはブラウザに保存されたログイン情報やCookieの復号に利用できます。

ハッカーが盗んだウォレットデータベースを組み合わせる手口

Telegramのアカウントには、これとは別ながら関連する脅威が存在します。この情報窃取マルウェアは、ローカルの暗号鍵や認証済みセッション状態に関連するファイルを含む、Telegramデスクトップ版のtdataディレクトリをコピーします。

Image

SlowMistの検証実験では、これらのファイルを互換性のあるMac上で復元したところ、被害者のアカウントセッションが即座に復元されました。電話番号、SMSコード、Telegramの二段階認証パスワードは一切要求されませんでした。

これはTelegramの二要素認証を暗号学的に突破したわけではなく、セッションの再利用です。攻撃者はすでに認証済みのローカルセッションをそのまま引き継ぐため、通常の新規ログインフローを完全に回避できます。

SlowMistはさらに、盗まれたtdataの痕跡データがプログラム操作可能なTelegram APIセッションに変換され得ることも発見しました。これにより、チャットへのアクセスやメッセージ操作が可能になります。

Ledger LiveおよびTrezor Suiteのユーザーに対しては、このマルウェアは直接的なフィッシング経路も追加します。正規のウォレットアプリケーションを削除した上で、同じ名前とアイコンを使った偽の代替アプリを配置するのです。

Image

リバースエンジニアリングの結果、この代替パッケージは正規のウォレットソフトウェアではなく、攻撃者が管理するサイトに接続するWebViewローダーであることが判明しました。これらのページは、信頼できるデスクトップアプリケーションを装いながら、リカバリーフレーズ、PIN、パスフレーズを要求してくる可能性があります。

この一連のキャンペーンは、情報窃取マルウェアが認証情報、ローカルの暗号化ストア、有効なセッション、そしてユーザーの信頼の間の関係性をいかに悪用しうるかを示しています。

ハッキング&クラッキング

盗まれたウォレットデータベース単体では保護されていても、Keychainのシークレットや使い回されたパスワードと組み合わされれば、オフライン復号のための持ち運び可能な標的と化してしまいます。

IOC(侵害指標)

指標 URL
192.253.248.181 http://192.253.248.181/web/ledger.zip
192.253.248.181 http://192.253.248.181/web/ledgerwallet.zip
192.253.248.181 http://192.253.248.181/web/trezor.zip
86.54.25.213 http://86.54.25.213/ledger?username=night
86.54.25.213 http://86.54.25.213/trezor?username=night
86.54.25.213 http://86.54.25.213/log

注: IPアドレスおよびドメインは、誤ったアクセスやハイパーリンク化を防ぐため、意図的にディフェイング処理(例: [.])を施しています。再度有効な形式に戻す作業は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

𝗔𝗜 𝗦𝗢𝗖 𝘃𝘀 𝗠𝗗𝗥 𝘃𝘀 𝗠𝗦𝗦𝗣 どちらが2026年に最適か? コスト、自動化、対応力を比較: 無料ガイドをダウンロード

翻訳元: https://gbhackers.com/hackers-pair-stolen-wallet-databases/

ソース: gbhackers.com