Omnistealerという新しいインステーラーがブロックチェーンを永続的なマルウェアホスティングプラットフォームに変えており、これは企業と一般ユーザーの両方にとって悪いニュースです。
マルウェアが公開プラットフォーム(できればダウンロード場所に信頼性を追加するもの、例えばGoogle Docs、OneDrive、GitHub、npm、PyPIなど)にペイロードを保存することはごく一般的です。
マルウェア販売者にとっての問題は、これらは削除できるということです。時間がかかり多くの手間がかかることもありますが、可能です。Omnistealerはこれを回避するために、ステージングコードをTRON、Aptos、Binance Smart Chainなどの公開ブロックチェーン上のトランザクション内に保存しています。
ブロックチェーンのトランザクションの一部では、小さな任意のデータ(メモ、メタデータ、スマートコントラクト入力)が許可されていますが、無害なものの代わりに、攻撃者は以下を挿入します:
- 暗号化されたテキスト
- エンコードされたコマンド
- マルウェアコードの断片
そしてブロックチェーンは追記のみであるため、一度ブロックにマイニングされたこれらの悪意あるスニペットは実質的に削除不可能です。ドメインを取り消し、GitHubリポジトリを削除できますが、マルウェアステージングコードの数百バイトを削除するためだけにTRONやBSCをロールバックすることはできません。
これにより、公開台帳は、防御者が単に排除できない回復力のある、検閲耐性のあるコマンド・アンド・コントロール インフラストラクチャに変わります。
暗号通貨との明白な関連にもかかわらず、Omnistealerは暗号投資家を奪うだけではありません。Omnistealerがシステムに侵入すると、以下をターゲットにします:
- LastPassなどのクラウド同期コンシューマーツールを含む、10以上のパスワードマネージャー。
- ChromeやFirefoxなどの主要ブラウザから保存されたログインとセッションデータをスクレイピング。
- Google Drive認証情報を含むクラウドストレージアカウント。
- MetaMaskやCoinbase Walletなどの人気の拡張機能を含む、60以上のブラウザベースの暗号ウォレット。
これは、調査官が「文字通りあらゆるものを盗く」と言うワンストップデータ吸引機として設計されています。
攻撃は通常、「シンプルな」コーディング案件で始まります。請負業者がLinkedInまたはUpworkのオファーを受け取り、GitHubリポジトリをプルして、通常のプロジェクトコードのように見えるコードを実行します。舞台裏では、そのコードはブロックチェーンに接続し、トランザクションデータを読み取り、それを最終ペイロードをフェッチして復号化するためのポインタとして使用します。
研究者たちは、大人向け産業プラットフォームと食品配送から金融コンプライアンス企業、防衛サプライヤー、米国政府機関に至るまでの範囲にわたって、すでにおよそ300,000の認証情報が侵害されていると推定しています。
できることは何か
ブロックチェーンからマルウェアを削除することはできませんが、このようなキャンペーンがあなたに影響を与えるのをはるかに難しくすることはできます。まず、盗まれる可能性のあるものを減らしてください。次に、情報をより良く保護してください。
- 「夢の仕事」と迷惑な契約オファーをデフォルトで疑わしいものとして扱ってください。特に、プラットフォーム外チャット(Telegram、Discord)に迅速に移動したり、プライベートリポジトリからコードを実行するよう要求したりする場合です。
- 評判の良いパスワードマネージャーでパスワードをロックし、重要またはセンシティブなアカウントには多要素認証を有効にしてください(SMSではなくアプリまたはキーを優先)。
- Omnistealerのような脅威をブロック、検出、削除するために、最新の、リアルタイムのアンチマルウェアソリューションを使用してください。
- 日常的なユーザープロファイルまたはメインワークステーションを、ランダムなGitHubプロジェクトまたは副業のテストベンチとして使用しないでください。代わりに仮想マシンまたは別のシステムを使用してください。
- あなたの暗号およびバンキングアカウントで説明されていないログインまたは引き出しを監視し、妥協の疑いがある場合は新しいウォレットに資金を移動してください。
