偽の仮想通貨取引サイトに潜む、新しい検出困難なmacOSマルウェアの亜種が発見された。
ハッカー集団「ラザルス」が関与か
マルウェア研究者のディネシュ・デバドス(Dinesh Devadoss)氏によって発見されたマルウェアは、悪名高い北朝鮮のハッカー集団「ラザルス(Lazarus)」が開発したと考えられている。12月4日(現地時間)、ブリーピング・コンピューター(Bleeping Computer)が伝えた。
記事によると、このソフトウエアは「スマートな仮想通貨裁定取引プラットフォーム」を提供すると謳っていた「unioncrypto.vip」というアドレスのウェブサイト上で発見された。だが、サイト上のダウンロードリンクは機能していない。
研究者にとっての懸念は、この亜種は離れた場所からペイロード(データの本体)を引き出し、それをメモリ内で実行できること。それにより科学的な分析がより困難になる。
今のところ、このマルウェアを見つけることができるウイルス検出エンジンはごくわずか、ブリーピング・コンピューターが伝えた時点で対応できた検出エンジンは5つのみだった。
未完成だった?
しかし、このマルウェアには証明書がなく、macOSから警告が発せられる。さらに、リモートサーバーが稼働している間は、いかなるペイロードも現れない。これらの要因から、仮想通貨の保有者をターゲットにしたと思われるこのマルウェアは、ハッカーが罠を完成させる前に発見された可能性がある。
別の研究者、パトリック・ワードル(Patrick Wardle)氏は、今回の新たなマルウェアと、最近発生したラザルスによる別件の間には「明らかな重複」があると述べた。
10月に発見された、ラザルスによるマルウェアの亜種もまた、偽の仮想通貨取引サイトに潜んでいた。
ブリーピング・コンピューターはさらに、カスペルスキーが発見したラザルスの別の事件にも触れ、Macを狙ったマルウェアを広めるために仮想通貨取引アプリが使われていたと述べた。
9月、アメリカは仮想通貨の盗難を理由の1つにあげ、サイバー犯罪に関与したとして北朝鮮の3つのグループに制裁を科した。
米財務省は、ラザルス、ブルーノロフ(Bluenoroff)、アンダリエル(Andariel)を、2017年〜2018年にかけてアジアの取引所から5億7100万ドル(約621億円)相当の仮想通貨が盗まれた事件に関与したグループとして特定した。
翻訳:石田麻衣子
編集:増田隆幸
写真:Shutterstock
原文:North Korean Hacking Group May Be Behind Malware-Laden Fake Crypto Site
