暗号通貨ウォレットを狙う攻撃者は、自己拡散機能を備えたクリップボードを盗むマルウェアを配布し、Tor ネットワークを使用して通信を盗聴しています。
このキャンペーンは少なくとも 2 月から活動しており、USB ドライブ上の LNK (ショートカット) ファイルを利用して、クリップボードの内容を監視し、攻撃者が管理する仮想通貨ウォレットのアドレスを変更する Clipper マルウェアをプッシュします。
さらに、シード フレーズと秘密キーを監視し、Tor 経由で送信されるスクリーンショットをキャプチャできます。
感染と寄生虫の侵入
Microsoftによると、感染プロセスは被害者がLNKファイルを開くことから始まり、USBドライブ上のマルウェアが引き起こされるという。追加のペイロードは .ONION アドレスから段階的に廃止されます。
ローカル スキャンでは、システム上のドキュメント ファイルが検索されます。このようなファイルが見つかると、マルウェアは元のファイルを隠し、類似した名前の悪意のあるショートカットに置き換えます。これにより、ユーザーがドキュメントを開こうとするとマルウェアが実行されます。
このワームは、新しく接続された USB ストレージ デバイスを監視するスケジュールされたタスクを作成します。リムーバブル ドライブが接続されると、マルウェアは自身をデバイスにコピーし、追加の悪意のあるショートカット ファイルを作成します。
出典: マイクロソフト
データ窃盗者
マルウェアのステルス コンポーネントは、タスク マネージャーが非アクティブであることを確認した後に実行され、Tor 実行可能ファイル (ugate.exe) を使用してコマンド アンド コントロール (C2) ホストとの通信を確立します。
マルウェアは 0.5 秒ごとにクリップボードに次のデータがあるかどうかを確認します。
- 12ワードのBIP39シードフレーズ
- 24 ワードの BIP39 シード フレーズ
- イーサリアム秘密鍵
- ビットコインとキー
- ビットコインレガシー、P2SH、Bech32、およびタップルートウォレットアドレス
- トロンウォレットのアドレス
- モネロウォレットのアドレス
ターゲットアドレスは、攻撃者のウォレットアドレスに部分的に似ている最初の数字または文字に基づいて選択され、ユーザーが一目で不正行為を発見する可能性を減らします。
出典: マイクロソフト
このマルウェアは、クリップボードの監視に加えて、10 秒ごとに被害者の画面のスクリーンショットを 5 枚キャプチャし、C2 を使用して送信します。 カール 道具。
Microsoft によると、C2 EVAL 命令によってトリガーできるリモート コード実行もサポートされています。具体的には、マルウェアは JavaScript コンテンツを「cfile」というファイルにダウンロードし、感染したマシン上で実行します。
研究者らは、感染の最も強力な指標はシグネチャベースではなく行動であるとし、プロセスアクティビティを監視することを推奨している。 wscript.exe そして cscript.exe予期せぬ打ち上げ カールパワーシェルと cmd.exe異常な毛のプロセスを伴う。
さらに、「localhost:9050」への接続と Tor プロキシ アクティビティは、このキャンペーンに関連する危険信号です。
セキュリティ チームは成功した攻撃の 54% を記録し、警告を発するのは 14% のみです。残りの人々は、あなたの環境内で目に見えない形で動き回ります。
Pikus ホワイトペーパーでは、侵害と攻撃のシミュレーションで SIEM と EDR ルールをテストし、脅威の検出を防ぐ方法を示しています。
ホワイトペーパーを入手する
Leave a Reply