セキュリティ企業カスペルスキーは、ソフトウェアホスティングサイト「SourceForge」を通じて仮想通貨ユーザーを狙う新たなマルウェアについて警告を発しました。同社は最近の発表の中で、同サイト上のソフトウェアプロジェクト「Office Package」に、仮想通貨ユーザーを狙ったアドレスポイズニングマルウェアが含まれていると述べています。.
報告によると、このOfficeパッケージソフトウェアはMicrosoft Officeアドインを含む正当なプロジェクトです。しかし、詳しく調査すると、別のURLにつながるダウンロードリンクが含まれているなど、パッケージに関する詳細が明らかになりました。.
それはこう言った。
「調査対象のプロジェクトにはドメイン officepackage.sourceforge[.]io が割り当てられていますが、そのドメインにアクセスしたときに表示されるページは sourceforge.net の officepackage とはまったく異なります。」
興味深いことに、マルウェアのダウンロードプロセスは非常に複雑で、ユーザーはファイルをダウンロードする前に3つのURLを経由する必要があります。この複雑なプロセスは、ユーザーに本物のアプリケーションをダウンロードしていると信じ込ませるための策略の一環と思われます。.
Kasperskyのセキュリティ専門家によると、最終的なインストールファイルはinstaller.msiで、これは700MBのファイルであり、悪意のある人物が本物のソフトウェアインストーラーのように見せかけるためにサイズを膨らませたものだという。ジャンクバイトを取り除いた後、実際のサイズは7MBである。.
インストーラを実行すると、ユーザーは意図せず、マイナーとクリップバンカーという2つの悪意のあるアプリケーションをデバイスにインストールしてしまいます。クリップバンカーは、クリップボードにコピーされた暗号資産アドレスを攻撃者のアドレスに置き換えることでアドレスポイズニングを実行し、ユーザーに誤ったアドレスへの送金を促します。.
セキュリティ専門家は次のように書いている。
このキャンペーンにおける主要な悪意ある動作は、2つのAutoItスクリプトの実行に集約されます。Icon.dllはAutoItインタープリターを再起動し、そこにマイナーを注入します。一方、Kape.dllも同様の動作を行いますが、ClipBankerを注入します。
一方、攻撃は主にロシアの標的を狙っていたことも指摘されています。その兆候として、officepackage.sourceforge[.]ioサイトのインターフェースがロシア語であることや、1月から3月下旬にかけてマルウェアに遭遇した4,604人のユーザーのうち90%がロシア人であったことが挙げられます。.
増加する中毒詐欺に対処する
カスペルスキーの報告は、複数のブロックチェーンセキュリティ企業が報告しているように、仮想通貨ユーザーに対するアドレスポイズニング攻撃の最近の増加と一致しています。Scam Snifferのデータによると、3月に発生したフィッシング攻撃の中で3番目に大きなdent は、アドレスポイズニングによるものでした。.
サイバーズはまた、アドレスポイズニング詐欺による損失が3月の最初の3週間で120万ドル以上に達し、2月の180万ドルに上乗せされたと報告した。同社は、AI脅威検知システムがアドレスポイズニング攻撃の増加をdentしたと述べた。.
アドレス ポイズニング攻撃のほとんどは、攻撃者が頻繁に使用するアドレスに類似したアドレスを使用して、被害者に手動で少額のトランザクションを送信することから生じますが、攻撃者がクリップボードからアドレスを変更できるようにする高度なマルウェアの使用は、攻撃者が進化し続けていることを示しています。.
セキュリティ専門家は、この問題の最も効果的な解決策は、ユーザーが信頼できないソースからソフトウェアをダウンロードしないようにすることだと考えています。彼らは、悪意のある人物が非公式のソフトウェアウェブサイトを悪用して悪質なアプリケーションを配布するケースが多いため、そのようなウェブサイトを利用する人はそのリスクを認識する必要があると指摘しています。.
しかし、彼らは、このマルウェアは、攻撃者が感染したシステムにアクセスするための独創的な方法を提供するという点で、さらに大きな問題を提起していると指摘しています。そのため、作成者は暗号通貨ユーザーを標的とするだけでなく、より危険な犯罪者への販売を開始する可能性があります。.
