「ShieldGuard」として知られる暗号資産詐欺は、研究者がユーザーの機密データを収集するために設計された悪質なブラウザ拡張機能として特定した後、解体されました。
Okta脅威インテリジェンスによって明かされ、3月17日に公開されたアドバイザリーで説明されたこの作戦は、当初、フィッシングと有害なスマートコントラクトから暗号資産ウォレットを保護することを目的とするセキュリティツールとして提示されました。
ShieldGuardは、ユーザーを引き付けるために、ソーシャルメディア宣伝、ブラウザ拡張機能リスティング、トークン「エアドロップ」インセンティブモデルを組み合わせました。参加者は、将来の暗号資産報酬と引き換えに、拡張機能をダウンロードして宣伝するよう奨励されました。
このプロジェクトは、ソフトウェアがユーザーが承認する前に疑わしいトランザクションを検出できると主張していました。しかし、分析により全く異なる目的が明らかになりました。
マルウェア機能の詳細
Oktaは、拡張機能がBinance、Coinbase、MetaMaskを含む主要な暗号資産プラットフォームと相互作用するユーザーから貴重な情報を抽出するために構築されたことを発見しました。また、一般的なブラウジング活動とGoogleサービスもターゲットにしていました。
-
訪問されたすべてのウェブサイト全体からウォレットアドレスを収集
-
ログイン後、暗号資産プラットフォームから完全なHTMLコンテンツをキャプチャ
-
セッション全体でユーザーを継続的に追跡
-
コマンドアンドコントロール(C2)サーバー経由でリモートコードを実行
マルウェアは、Chromeセキュリティ制限をバイパスするために、難読化とカスタムJavaScriptインタプリタも使用していました。これにより、攻撃者は標準的な保護をトリガーすることなく、動的にコードを配信および実行できました。
暗号資産詐欺の詳細:2025年上半期の暗号資産ハック損失が2024年の合計を上回る
さらなる調査により、このインフラストラクチャは攻撃者がアカウント残高、トランザクション履歴、ポートフォリオデータを収集することを可能にしていることが示されました。場合によっては、ユーザーは攻撃者が管理する偽の警告ページにリダイレクトされる可能性がありました。
より広範なキャンペーンと閉鎖への関連性
証拠から、コード内の言語インジケータに基づいて、オペレーターはロシア語を話す可能性があることが示唆されました。研究者はまた、「Radex」として知られる別のキャンペーンへのリンクを特定し、より広範な脅威ネットワークを示唆していました。
Oktaは業界パートナーと協力して、以下の方法で作戦を中断しました:
-
Chrome ウェブストアから拡張機能を削除
-
関連ドメインを削除
-
バックエンドインフラストラクチャを無効化
-
ユーザーサインイン機能をブロック
これらの措置は、感染したブラウザと攻撃者のサーバー間の通信を効果的に遮断しました。ユーザーはプラグインの使用を制限し、ソースを検証し、無料トークンのオファーは慎重に扱うことをお勧めします。
翻訳元: https://www.infosecurity-magazine.com/news/crypto-scam-shieldguard-dismantled/
