新種マルウェア、仮想通貨ウォレットのアドレス入力時に書き換えを行う

新種マルウェア、仮想通貨ウォレットのアドレス入力時に書き換えを行う

Brady Dale
公開日:2019年 10月 21日 07:00
更新日:2019年 10月 21日 07:00

「マサド・スティーラー(Masad Stealer)」と呼ばれる新たなマルウェアは、ブラウザに入れられた不正コードによって、ウォレットのアドレス入力時にアドレスを書き換える。ジュニパーネットワークス (Juniper Networks)によると、以下についても盗まれるという。

パソコン及びシステムの情報
クレジットカードのブラウザデータ
ブラウザのパスワード
インストールされているソフトウェアとプロセス
デスクトップ上のファイル
デスクトップのスクリーンショット
ブラウザのクッキー
Steamファイル
オートフィルのブラウザ入力項目
ディスコード(Discord)とテレグラム(Telegram)の情報
FileZillaファイル

このプログラムはこれらの情報をマルウェア所有者のテレグラム・アカウントへ出力し、盗んだデータの安全性を確保する。またモネロ(monero)やライトコイン(litecoin)、ジーキャッシュ(zcash)、ダッシュ(dash)、イーサリアム(ethereum)などのアドレスを自動的に切り取って変更し、特別な検索機能を使って被害者のクリップボード上のこれらアドレスを特定する。一度アドレスが書き換わると、正当なウォレットへ送られる際の仮想通貨をこのマルウェアが受け取れてしまう。

「我々の遠隔計測によると、このマルウェアの主な流通経路は正当なツールに成りすますか、サードパーティツールに組み込まれている」とジュニパーは記載している。「この危険な加害者は、フォーラムやサードパーティのダウンロードサイト、ファイル共有サイトへ広告を出すことでエンドユーザーにダウンロードさせる」

ソフトウェアはTradebot_binance.exe、Galaxy Software Update.exe、 Fortniteaimbot 2019.exeといった便利に見えるソフトウェアに成りすます。一度感染するとコンピューターはテレグラム・チャンネルのコマンド&コントロールで通信を始め、プライベートなデータを送り返す。

ジュニパーによるとこのマルウェアはダークウェブで40ドル(約4300円)かかるとされており、種々に構成を完璧に変更でき、とても危険なものだという。

「ジュニパー危険研究室(Juniper Threat Labs)は、このマルウェアが活発に進行中の脅威であると考えている。(中略)マルウェアは闇市場で依然として購入可能なようだ」と研究者は記述している。

翻訳:下和田 里咲
編集:T.Minamoto
写真:Hacker image via Michael Geiger/Unsplash
原文:New Malware Swaps Out Crypto Wallet Addresses as You Type Them