2025年12月の広範な脅威インテリジェンス活動を通じて明らかになった高度なクリップボードハイジャック型マルウェアキャンペーンは、脅威アクターが信頼されたDiscordコミュニティ内でソーシャルエンジニアリングを悪用し、標的型窃取トロイの木馬を展開する手口を示している。
「RedLineCyber」という別名で活動する脅威アクターは、悪名高いRedLine Solutionsブランドになりすますことで戦略的に信頼性を確立しつつ、Pythonベースのクリップボードハイジャッカー「Pro.exe」を配布している。
このマルウェアは、ゲーム、ギャンブル、配信コンテンツに焦点を当てた厳選されたDiscordサーバーを通じて、暗号資産ストリーマー、カジノ系ゲームコミュニティ、活発なデジタル資産トレーダーを標的にしている。
この作戦は、無差別な情報窃取から、精密に標的化された金銭窃取へと移行していることを示す。
マルウェアは300ミリ秒間隔でクリップボードを継続的に監視し、base64でエンコードされた正規表現を用いて、Bitcoin、Ethereum、Solana、Dogecoin、Litecoin、Tronの6つの主要ブロックチェーンネットワークにわたる暗号資産ウォレットアドレスを検出する。
検出すると、マルウェアはリアルタイムでアドレス置換を実行し、ユーザーが取引データを貼り付ける決定的な瞬間に、被害者のウォレットアドレスを攻撃者が管理する代替アドレスに置き換える。
RedLineCyberは、難読化されたPython 3.13バイトコードを埋め込んだPyInstaller実行ファイルとしてPro.exeを配布している。
このパッケージング手法には複数の利点がある。正規のPyInstallerツールがPythonソースコードを難読化し、単一ファイルのバンドルにより依存関係のインストール要件が不要になり、さらにアンチウイルスの検知シグネチャを減らす。
完全なPythonランタイム環境により、コマンド&コントロール基盤なしでオフライン動作が可能となり、検知確率を大幅に低下させる。
初回実行時にWindowsレジストリのRunキーを通じて永続化のインストールがトリガーされ、システム再起動時の自動起動が保証される。マルウェアはローカルの活動ログを維持し、成功したクリップボードハイジャック事象(タイムスタンプやアドレス置換の詳細を含む)を記録する。
このログ機構により、脅威アクターは運用状況を追跡でき、インシデント対応調査においてフォレンジック証拠が生成される。
インテリジェンス分析により、8つの主要Discordコミュニティが意図的な標的化ベクターとして特定され、ライブ配信中に暗号資産取引が行われる高価値の配信プラットフォームに重点が置かれている。
脅威アクターは、Pro.exeを暗号資産保護ユーティリティまたは配信ツールとして紹介する前に、潜在的な被害者と長期的な関係を築く。
このソーシャルエンジニアリング手法は、技術的な検証が最小限であることが多いゲームおよび暗号資産コミュニティ内の信頼を悪用する。
オープンソースインテリジェンスの相関により、同じRedLineCyberアクターが2025年10月にBreachStarsマーケットプレイスで4,200件超の収集済みLinkedIn認証情報を宣伝していたことが特定され、リアルタイムの暗号資産窃取と従来型の認証情報ブローカー業を組み合わせた多角的な犯罪活動を示唆している。
認証情報在庫の分析に基づく地理的標的は、米国、英国、オーストラリア、ニュージーランドに及ぶ。
セキュリティチームは、不審なHKCU Runキー追加に対するレジストリ監視を実装し、特に%APPDATA%パスを含むエントリをフラグ付けすべきである。
短い間隔で繰り返し実行される高頻度のクリップボードAPI呼び出し(OpenClipboard、GetClipboardData、SetClipboardText)に対する振る舞い監視は、信頼できる検知シグナルを提供する。
暗号資産アドレスのパターンマッチングとクリップボード操作が組み合わさったプロセス分析は、侵害を示す。マルウェアがネットワーク通信を行わないため、従来のネットワーク検知ベクターは排除される。
組織は、振る舞い監視をサポートするエンドポイント検知・対応(EDR)ソリューションを優先し、暗号資産取引の検証ワークフローに焦点を当てたユーザー教育と組み合わせるべきである。
特定された攻撃者ウォレットアドレスを組織および取引所レベルでブロックすることは部分的な緩和策となる。しかし、新しいアドレスが引き続き生成される可能性が高い。
この作戦の明らかな収益性と中程度の技術的複雑さを踏まえると、脅威アクターはDiscordの社会構造と信頼されたコミュニティを悪用して暗号資産マルウェアを配布し続ける可能性が高い。
cloudsekのキャンペーンは、巧妙な金銭窃取に高度な能力や洗練されたインフラは不要であり、必要なのは戦略的なソーシャルエンジニアリングと、高価値の取引ウィンドウに焦点を当てた標的型の技術実装だけであることを浮き彫りにしている。
翻訳元: https://cyberpress.org/discord-clipboard-hijacker-wallet-address-theft/