暗号資産を盗む 5 つの新しいマルウェア手法 (2024)

サイバー犯罪者は革新を止めません。特に暗号通貨に惹かれています。あなたは、自分がこれからいくつの地雷を踏むことになるか知らずに、楽しくインターネットを探索しているかもしれません。暗号通貨の資金を保護するには、最新のセキュリティ トレンドを常に把握して、注意を怠らないことが不可欠です。

この悪質なビジネスが悪意のある人々にとってどれほど大きなものであるかを知るために、チェイナリシス2023年に違法な暗号アドレスが受け取った金額は約242億ドルです。次の数字に加わらないようにしましょう。今年注意すべき新しいマルウェア手法と、それらから身を守る方法を見てみましょう。

MacOSのバックドア

非公式サイトからアプリケーションをダウンロードするのは決して良い考えではありません。これはその理由を示す良い例です。サイバーセキュリティ会社カスペルスキーラボ発見した今年初め、macOS ユーザーの暗号通貨ウォレットを狙った新たな脅威が、トレントや海賊版サイトで入手可能な海賊版ソフトウェアに隠されていました。

ユーザーがこれらの一見無料のプログラムをインストールすると、知らないうちにマルウェアがコンピューターに侵入するのを許可していることになります。最初のステップでは、「Activator」と呼ばれるアプリがユーザーに管理者権限を与えるよう求めます。これにより、マルウェアは自身をインストールして海賊版ソフトウェアの通常の機能を無効にするために必要な権限を取得し、ソフトウェアを動作させるにはこのActivatorが必要であるとユーザーに思わせます。

インストールされると、マルウェアはリモート サーバーに接続して、さらに悪意のある命令をダウンロードします。これらの命令は、マルウェアがバックドアを作成するのに役立ち、ハッカーが感染したコンピューターに継続的にアクセスできるようにします。このマルウェアの主な目的は、暗号通貨を盗むことです。Exodus や Bitcoin-Qt などの正規のウォレット アプリを、感染したバージョンに置き換えます。

改変されたアプリは、リカバリフレーズやウォレットのパスワードなどの機密情報をキャプチャし、ハッカーに送信して、事実上、あなたの暗号資産を流出させます。 「無料」アプリを入手した直後に、疑わしい「アクティベーター」インストーラーが表示されましたか? アクセスを許可せず、すぐにアンインストールしてください。

Vortax、Web3 Games、そして「Markopolo」

Vortaxキャンペーンは、Recorded Futureの研究者によって発見された、暗号通貨ユーザーを狙った欺瞞的なマルウェア活動です。この計画偽のアプリだが本物に見えるものを使用して、Windows と macOS の両方のデバイスを情報窃取マルウェアに感染させます。このアプリは、Vortax と呼ばれる仮想会議ソフトウェアを装い、検索エンジンにインデックスされた Web サイト、AI 生成の記事を掲載したブログ、X、Telegram、Discord などのプラットフォーム上のソーシャル メディア アカウントを備え、信頼性があるように見えます。脅威アクターは、仮想通貨をテーマにしたディスカッションで潜在的な被害者と交流し、仮想会議への参加を装って Vortax アプリをダウンロードするように誘導します。

ユーザーが指示に従うと、Vortax ソフトウェアをインストールするダウンロード リンクにリダイレクトされます。ただし、インストール ファイルは機能するアプリではなく、Rhadamanthys、Stealc、Atomic Stealer (AMOS) などのマルウェアを配信します。Vortaxアプリは意図的なエラーのために機能していないように見えますが、バックグラウンドではマルウェアがパスワードやシード フレーズなどの機密情報を盗み始めます。さらに調査すると、Vortax キャンペーンは、同様の悪意のあるアプリケーションや偽の Web3 ゲームをホストしている複数のドメインにリンクされていることが判明しました。これは、Markopolo として識別される脅威アクターによる組織的な取り組みを示唆しています。

マルコポロの戦術には、ソーシャルメディアやメッセージングプラットフォームを利用してマルウェアを配布することなどが含まれる。 偽装もVDeck、Mindspeak、ArgonGame、DustFighter、Astration などのブランドやゲームがこれにあたります。この戦略は、攻撃範囲を広げるだけでなく、ユーザーが騙されて悪意のあるソフトウェアをダウンロードする可能性も高めます。この攻撃の巧妙さと適応性は、今後の攻撃がさらに蔓延する可能性があることを示唆しており、特に疑わしいほど執拗にサードパーティのソフトウェアをダウンロードしようとしている場合は、ユーザーが注意を払う必要があることを浮き彫りにしています。

Pytoileur、Python 開発者にとっての罠

Sonatype の研究者は、「pytoileur」と呼ばれる悪意のある Python パッケージを通じて暗号通貨ユーザーを狙う新たな脅威を発見しました。pytoileur は、正規の API 管理ツールを装い、ユーザーを騙して Python パッケージ インデックス (PyPI) からダウンロードさせます。インストールされると、このパッケージは、被害者のデバイスに保存されている機密情報にアクセスして暗号通貨を盗むように設計された有害なソフトウェアを密かに取得してインストールします。

悪意のあるパッケージこのマルウェアは、一見無害なコードの中に巧妙に隠されていました。ダウンロードした危険な実行ファイルは、実行されるとさまざまな悪意あるアクティビティを実行します。これには、システム設定の変更、検出を回避するためにデバイス上に存在し続けること、そして最も重要なのは、Binance 、 Coinbase、Crypto.comなどの人気サービスに関連付けられたウォレットやアカウントから暗号通貨を盗もうとすることが含まれます。ブラウザデータやその他の財務詳細にアクセスすることで、マルウェアは被害者に気付かれずにデジタル資産を吸い上げることができます。

pytoileur の配布にはソーシャルエンジニアリングの戦術が使われており、Stack Overflow などのコミュニティプラットフォームを悪用して、技術的な問題を解決すると偽って開発者にパッケージをダウンロードさせるという手法も含まれている。この事件はより広範な「クールパッケージ」キャンペーンの一環であり、サイバー犯罪者が高度で進化する手法で暗号通貨ユーザーを狙う継続的な取り組みを示している。別のセキュリティ会社 Mend.io は、特定したPyPI ライブラリ上の 100 を超える悪意のあるパッケージ。

開発者は、信頼できるソースからダウンロードし、パッケージの整合性を検証し、使用前にコードを確認することにより、悪意のあるパッケージを回避できます。セキュリティ アドバイザリを最新の状態に保ち、自動化されたセキュリティ ツールを使用することも役立ちます。

P2PInfect、群がる脅威

Cado Security が特定した P2Pinfect は、ピアツーピア ボットネットを利用して制御する高度なマルウェアです。つまり、このマルウェアはコンピュータがネットワークに属しているかどうかを検出し、ネットワークに参加しているすべてのデバイスに感染して、中央サーバーに依存せずに相互に直接通信および制御します。最初は活動していないように見えましたが、更新された形態では、ランサムウェアと暗号通貨マイニング機能が追加されました。

感染するとボットネットは、主に人気のデータベース システムである Redis の脆弱性を介して拡散し、マルウェアが任意のコマンドを実行し、接続されたシステム全体に拡散することを可能にします。ボットネット機能により、更新が迅速に配布され、たとえば企業全体に及ぶ、侵害されたデバイスの広範なネットワークが維持されます。

被害者が P2Pinfect に遭遇するのは、通常、安全でない Redis 構成経由、または一般的な認証情報を使用してリモート システムを管理する制限付きの SSH (セキュア シェル) 試行経由です。被害者のシステムでアクティブになると、P2Pinfect は Monero 暗号通貨をターゲットとする暗号通貨マイナーをインストールします。このマイナーは、少し遅れてアクティブになり、システムのリソースを使用して暗号通貨を生成し、密かに収益を攻撃者のウォレットに送り込み、デバイスの機能を低下させます。

ランサムウェア コンポーネントはファイルを暗号化 (ブロック) し、ファイルを復元するために暗号通貨の支払いを要求しますが、感染した Redis サーバーの一般的な権限により、その効果は限定的です。攻撃者の Monero ウォレットには約 71 XMR (約 12,400 ドル相当) が蓄積されています。これは、Redis に保存されるデータは通常価値が低いため、ランサムウェアの影響が限定的である可能性があるにもかかわらず、キャンペーンが金銭的に成功していることを示しています。このマルウェアを回避するには、Redis 構成を保護し、異常なアクティビティを定期的に監視することを忘れないでください。

偽のAggrTradeやその他の悪意のある拡張機能

セキュリティ会社 SlowMist が説明した偽の AggrTrade Chrome 拡張機能は、ユーザーを騙して多額の暗号通貨を失わせる悪質なツールでした。この拡張機能は正規の取引ツール (AggrTrade) を装っていましたが、資金を盗むためだけに設計されていました。ユーザーは知らないうちにこの拡張機能をインストールし、パスワードや認証情報などの機密情報を乗っ取って暗号通貨取引所や取引プラットフォームへのアクセスを悪用しました。

拡張機能このマルウェアは、クッキーやその他のセッション データをキャプチャすることで機能し、ユーザーのログインを模倣して不正なトランザクションを実行できます。これにより、合計で約 100 万ドルが盗まれました。このマルウェアは、ソーシャル メディアやマーケティング プロモーションを介した欺瞞的な手法で配布され、多くの場合、非公式または疑わしいソースから被害者をダウンロードしてインストールするように誘導しました。

この特定の脅威はすでに削除されましたが、これは数多くの試みの中のほんの一例にすぎません。現在、他のいくつかの悪質なChrome拡張機能本物の取引サービスを装い、暗号通貨を盗むことを目的としているものもあります。自分自身を守るために、信頼できるソースからの拡張機能のみをインストールし、定期的に権限を確認し、異常なアクティビティがないかアカウントを監視してください。

また、すべてのブラウザ拡張機能は、閲覧履歴全体を追跡し、各サイトでの行動を確認し、Cookie やその他の個人データを盗むことができることに注意してください。多額の金額を保管する場合はハードウェア ウォレットまたは紙のウォレットを使用し、セキュリティ ソフトウェアを最新の状態に保つことで、このような脅威に対する保護を強化できます。

保護対策

このような暗号窃盗マルウェアから身を守るには、いくつかの基本的な対策を講じることができます。

• 信頼できるソースからインストールする:信頼できるソースや公式 Web サイトからの拡張機能とソフトウェアのみを使用してください。インストールする前にレビューと権限を確認してください。
  
• インストールするソフトウェアは最小限に抑えます。デスクトップ コンピューターに別のアプリやブラウザー拡張機能をインストールする前に、本当に必要かどうかをもう一度考えてください。既存のソフトウェアで目的を達成できるかもしれません (ただし、各アプリがサンドボックス化されているモバイル プラットフォームではより安全です)。
  
• 定期的なセキュリティ チェック:使用されていない拡張機能やソフトウェアを頻繁に確認して削除します。暗号通貨アカウント (オンラインとオフライン) とシステムで異常なアクティビティがないか定期的にチェックします。
  
• 強力な認証を使用する:アカウントで2要素認証 (2FA) を有効にして、セキュリティをさらに強化します。 Obyteウォレットメインメニューからマルチデバイス アカウントを作成するか、設定で支出パスワードを設定することでこれを実行できます。

• マルウェア対策ツールを採用する:最新のウイルス対策およびマルウェア対策ツールを使用して、オンラインおよびオフラインの脅威を検出してブロックします。
  
• 暗号資産を安全に保管:重要な暗号資産をハードウェアウォレットまたは紙のウォレットに保管して、オンラインの脅威にさらされるリスクを軽減します。Obyteウォレットを使用すると、生成することで簡単に独自の紙のウォレットを作成できます。テキストコイン(ランダムな単語 12 個) を書き留めておき、資金を使う必要があるまでソフトウェア自体を削除またはブロックします。

Obyte内外で、安全で検証済みのウォレットを使用していることを確認し、資産を保護するためのベスト プラクティスに従ってください。

注目のベクター画像フリーピック