- ハッカーが休眠中のSnapcraftアプリを乗っ取り、暗号資産を盗むマルウェアを拡散
- 攻撃者は期限切れドメインを悪用してパスワードをリセットし、悪意あるコードでスナップを更新
- マルウェアがウォレットアプリを装い、リカバリーフレーズを盗んで最大49万ドル相当の資金を奪取
専門家によると、Snapcraftはハッカーの侵入を受けており、休眠・非アクティブなアプリ(「スナップ」)を乗っ取って人々の暗号資産を盗むために利用しているという。
Anchoreのサイバーセキュリティ研究者は「Canonical Snap Storeにマルウェアを公開しようとする詐欺師による執拗なキャンペーンが続いています。自動フィルターで検知されるものもありますが、かなりの数がすり抜けています」と述べた。
Snapcraftは、Linuxアプリケーション向けのCanonicalのプラットフォームおよびエコシステムだ。Ubuntuと密接に結びついているが、多くのLinuxディストリビューションで動作する。一方、スナップはアプリそのものを指す。スナップは、アプリケーションとその依存関係の大半を含む自己完結型のソフトウェアパッケージである。これらのスナップは隔離(サンドボックス)された状態で実行され、自動更新され、異なるLinuxシステム間でも同じように動作する。
暗号資産ウォレットが標的に
多くのスナップは休眠状態にあり、ドメインの期限が切れている。研究者によれば、犯罪者は期限切れのドメインを探し出して購入し、その後ストアでパスワードリセットを実行しているという。これによりスナップへの正規のアクセス権を得て、悪意あるコードを含むように更新するのだ。
多くの場合、標的は暗号資産ウォレットだ。Anchoreによると、こうしたスナップがすでに「数十件」標的にされており、ビットコインやその他の暗号資産で1万ドルから最大49万ドル相当が盗まれているという。
専門家は「マルウェアはExodus、Ledger Live、Trust Walletといった正規アプリを装います。ユーザーにウォレットのリカバリーフレーズの入力を求め、その認証情報を犯罪者に送信し、ユーザーにはエラーを表示します。誰かが事態に気づく頃には、ウォレットは空になっています」と警告している。
攻撃者の正体は不明だが、どうやらクロアチア国内、またはその周辺にいるとみられる。
Canonicalはこのキャンペーンを抑え込もうと懸命に取り組んでいるが、Anchoreはこれを「終わりのないモグラ叩きゲーム」と表現している。1つのスナップが削除されると、すぐに別のものが乗っ取られるのだ。
暗号資産を安全に保つため、どのような入手元であってもアプリのダウンロードには細心の注意を払い、とりわけ暗号資産ウォレットや関連ソフトウェアには十分警戒してほしい。
