Microsoftは、TorとUSBドライブを介してシードフレーズ、秘密鍵、ウォレットを盗むWindowsの暗号化クリッパーを警告した。

マイクロソフトは、2月から密かに活動しており、Windowsマシンを標的とする悪質なプログラムを特定した。CryptoBanditsと呼ばれるこのプログラムは、Torネットワークを介してシードフレーズ、秘密鍵、ウォレットを盗み出し、USBドライブを介して転送することができる。. 

ブログ 記事 、Microsoft Threat IntelligenceとMicrosoft Defenderの専門家は、被害者が気づかないうちに仮想通貨ウォレットから資金を抜き取っていた悪質なキャンペーンを明らかにした。Microsoftのセキュリティ専門家は、この悪質なプログラムが数ヶ月間検出不可能であった理由として、昔ながらのUSBワームの手法と最新の匿名化ツールを組み合わせた手口を解説した。

研究者らによると、この悪質な攻撃キャンペーンは、クリップボードの窃盗、ウォレットアドレスの置き換え、ワームのような拡散、Torベースの通信といった機能を単一のプログラムで実行できるという。また、このプログラムは悪意のあるコードが実行された後も、ローカルマシンへのアクセスを長期間維持していた。. 

マイクロソフトは、感染がどのように実行されるかを説明しています。

マイクロソフトの詳細なブログ記事によると、感染は昔ながらの方法、つまりUSBメモリを介して始まったという。マルウェアはその後、リムーバブルドライブに保存されたショートカットファイルにアクセスした。コンピュータに接続されると、ワームコンポーネントは即座に起動する。. 

このワームは、デバイス上のDOCファイル、スプレッドシート、PDFファイルなどの通常のファイルを探し出し、それらを隠蔽して、同じ名前の偽のショートカットに置き換えます。こうして偽のショートカットが作成されると同時に、何も知らないWindowsユーザーは、通常のWordファイルやExcelファイルを開こうとしてクリックしますが、実際にはマルウェアが起動してしまいます。.

その後、マルウェアはマシンのUSBドライブに自己複製し、再起動後も動作し続けるようにスケジュールされたタスクを設定し、Microsoft Defenderのスキャンから自身を除外します。. 

第2段階で実際のクリッパーが起動されると、スクリプトベースのペイロードは、一般的なインストーラーではなく、Windows ScriptHostとActiveXオブジェクトに依存するため、検出が非常に困難になります。. 

すべての設定が完了すると、マルウェアは隠しウィンドウでTorクライアントを起動し、固有の被害者IDを生成し、Torオニオンアドレスの背後に隠されたコマンド＆コントロールサーバーに自身を登録します。こうして、マルウェアは検出されることなく、その隠しチャネルを通じて情報を正常に送信できるようになります。. 

マイクロソフトが、このマルウェアの検出が難しい理由を解説

マイクロソフトのセキュリティチームによると、このマルウェアはループ状態に入り、約0.5秒ごとにオペレーターにポーリングを行い、クリップボードをスキャンする。このプログラムは、12語または24語のBIP39シードフレーズを認識するように特別に開発されている。. 

をスキャンし Ethereum キーと Bitcoin 、ローカルにバックアップを保存した後、Torネットワーク経由で攻撃者のサーバーに送信します。送信が成功するまで、同じ一連の処理を複数回繰り返すように設計されています。送信が成功した場合にのみローカルコピーを削除し、毎秒複数のスクリーンショットを撮影することで、攻撃者は被害者のウォレット残高とアクティビティを視覚的に把握できます。 

ウォレットアドレスがクリップボードにコピーされた場合、マルウェアは被害者が貼り付ける前に、攻撃者が制御するアドレスに置き換えることができます。 Bitcoin アドレスをコピーして送金しようとしても、実際に送金先欄に表示されるアドレスは全く別の人物のものかもしれません。.

Microsoft Defender Antivirus は、この脅威を Trojan:Win32/CryptoBandits.A として検出するようになり、Defender for Endpoint は、疑わしい JavaScript プロセスや curl ベースのデータ漏洩などの動作を監視します。.