従来は別々だった認証情報盗取マルウェアと暗号資産を狙った脅威の世界が、急速に単一の統一された攻撃エコシステムに収束しています。
この変化は、従来のWeb2侵害に関連していた戦術が、現在Web3の金銭的盗難と直接交差し、混在した脅威環境を作成している方法を示しています。
この傾向の典型的な例として、最近発見されたEtherRATマルウェアのWindowsバリアントがあります。これは従来のマルウェア配信技術を暗号盗難パイプラインに直接持ち込みます。
現代のクリプトドレーナーは、初期の基本的なJavaScriptペイロードをはるかに超えて発展し、ユーザーの操作をほぼ必要とせずに複数のブロックチェーン全体でデジタル資産を抽出できる高度に自動化されたシステムへと進化しています。
脅威アクターは現在、偽造取引ポータル、AIテーマのダッシュボード、コンプライアンスプラットフォームなどの、高度に磨かれたソーシャルエンジニアリングのおとりを使用して、ユーザーに暗号資産ウォレットを接続させるようだまします。
これらの悪意のあるサイトは、主流の金融アプリケーションの清潔なデザインと機能を模倣することにより、疑いを最小限に抑える信頼できる環境を作成します。
ウォレットが接続されると、これらのインターフェースは虚偽のトランザクション確認を表示して、被害者に無制限のトークン支出承認を付与するよう欺きます。
この成熟度を示す注目すべき事例はStepDrainerです。このマルチチェーンマルウェア・アズ・ア・サービスプラットフォームは、Ethereum、Arbitrum、Polygonを含む20以上のブロックチェーンネットワークを対象としています。
この脅威はWeb3Modalインフラストラクチャを使用してリアルなウォレット接続画面を作成し、スマートコントラクトメソッドを悪用して、高価値資産を攻撃者が制御するアドレスに自動的に転送します。
StepDrainerは動的スクリプト注入に依存して、悪意のあるコードを見えないように読み込み、分散型オンチェーンアカウントをクエリして動作構成データを取得します。
これらの高度な技術を活用することにより、オペレータは従来のシグネチャベースのセキュリティ検出を簡単に回避できます。
これらの操作の高度な性質は、脅威アクターがよく発展した地下市場を通じてドレーナー経済をプロフェッショナル化する方法を強調しています。
この収束をさらに強化するのがEtherRATです。これは、もともとLinuxベースのインプラントとして知られていたマルウェアファミリーで、現在はWindows環境に移行しています。
最近の調査により、人気のある管理ツールTftpd64のトロイの木馬化されたバージョンを通じて配布されるEtherRATのWindowsバリアントが明らかになりました。
偽のリポジトリから悪意のあるインストーラをダウンロードした知らないユーザーは、正当なコンポーネントの隣に隠されたEtherRATインプラントを含むバンドルを無意識のうちに受け取ります。
これにより、マルウェアはシステムの組み込みインタプリタに依存せずにコアJavaScriptペイロードを実行でき、法医学的な見た目を大幅に低減させることができます。
その後、マルウェアはWindowsレジストリを通じて永続性を確立し、ユーザーがログインするたびにバックグラウンドで自動的に実行されることを保証します。
アクティブになると、EtherRATはPowerShellコマンドを使用してインストール済みのアンチウイルス製品、ドメインメンバーシップ、システムロケール、ハードウェア情報などの詳細を収集するための静かなシステム偵察を実行します。
翻訳元: https://cyberpress.org/etherrat-fuels-crypto-theft/