トロイの木馬

安全研究機関 Elastic Security Labs は、金融および暗号通貨業界の人々を対象とした新しい社会工学的攻撃活動を明らかにしました。攻撃者は LinkedIn と Telegram でベンチャーキャピタル機関を装い、ターゲットに内蔵された悪意のあるペイロードを持つ Obsidian ノートブックを開かせ、これまで記録されていなかった Windows リモートアクセス型トロイの木馬 PHANTOMPULSE を展開します。この攻撃は、ソフトウェアの脆弱性を利用することなく、Obsidian の Shell Commands プラグインを悪用してノートブックが開かれると自動的に悪意のあるコードを実行します。macOS 側では、混乱した AppleScript ローダーと Telegram チャンネルを組み合わせてバックアップの指令制御サーバーとして使用し、Windows 側では Ethereum の取引データを利用してブロックチェーン化された C2 アドレスの解決を実現します。

攻撃者は、JavaScriptで最も人気のあるHTTPクライアントライブラリAxiosの主要メンテナーのnpmアクセス令牌を盗み、その令牌を利用してクロスプラットフォームのリモートアクセス型トロイの木馬（RAT）を含む2つの悪意のあるバージョン（[email protected]と[email protected]）を公開しました。これらはmacOS、Windows、Linuxシステムを対象としています。悪意のあるパッケージはnpmレジストリ上で約3時間生存した後に削除されました。セキュリティ会社Wizのデータによると、Axiosの週あたりのダウンロード数は1億回を超え、約80%のクラウドおよびコード環境に存在しています。セキュリティ会社Huntressは、悪意のあるパッケージが公開されてから89秒後に最初の感染を検出し、露出ウィンドウ期間内に少なくとも135のシステムが侵害されたことを確認しました。注目すべきは、Axiosプロジェクトは以前にOIDC信頼できる公開メカニズムやSLSAトレーサビリティ証明などの現代的なセキュリティ対策を導入していたにもかかわらず、攻撃者はこれらの防御を完全に回避しました。調査の結果、プロジェクトはOIDCを設定する際に従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存する場合、デフォルトで従来のトークンを優先して使用するため、攻撃者はOIDCを突破することなく公開を完了できました。

GoPlus 日本語コミュニティは X プラットフォームで警告を発表し、北朝鮮のハッカーが npm レジストリに 26 の悪意のあるパッケージを公開したと伝えています。これらの悪意のあるパッケージには、インストール中に自動的に実行されるインストールスクリプト ("install.js") が添付されており、"vendor/scrypt-js/version.js" にある悪意のあるコードを実行します。悪意のあるコードは、同じ悪意のある URL を通じてリモートアクセス型トロイの木馬（RAT）をダウンロードして実行し、キーボードの入力を記録したり、クリップボードを盗んだり、ブラウザの認証情報を収集したり、TruffleHog を使用して Git リポジトリの秘密をスキャンしたり、SSH キーを盗んだりするなどの悪意のある行為を実施します。この事件は、「Famous Chollima」と呼ばれる北朝鮮のハッカー活動に関連しています。

慢雾首席情報セキュリティ責任者 23pds は X プラットフォームで、"graphalgo" という名前の偽の採用活動がリモートアクセス型トロイの木馬（RAT）を利用して暗号通貨開発者を攻撃していると警告しています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、セキュリティ会社 Check Point は、2024 年 3 月から活動を開始する「JSCEAL」と呼ばれるマルウェアについて警告しています。このマルウェアは、偽の Binance、MetaMask、Kraken など、約 50 種類の一般的な暗号アプリを通じて、広告を利用してユーザーにトロイの木馬をダウンロードさせる手口を取っており、世界的な影響を受ける人数は 1,000 万人を超える可能性があります。このトロイの木馬は JavaScript 言語を使用し、検出回避機能を備えており、ウォレット情報、アカウントパスワード、Telegram データ、ブラウザの Cookie を盗むことができます。主に Facebook などのプラットフォームを通じて広告を配信しています。

ChainCatcher のメッセージ、SlowMist テクノロジーの最高情報セキュリティ責任者 23pds が X プラットフォームで発表したところによると、暗号通貨ユーザーは TradingView のクラック版を装ったトロイの木馬に警戒するようにとのことです。最近、AMOS と Lumma の情報窃取プログラムが Reddit の投稿を通じて拡散しており、特に暗号通貨ユーザーをターゲットにして、ウォレットや個人データを盗み取っています。被害者には Mac と Windows のユーザーが含まれています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、テクノロジー大手のマイクロソフトは、Google Chrome ブラウザ内の 20 種類の暗号通貨ウォレット拡張機能を標的とした新型リモートアクセス型トロイの木馬（RAT）を発見しました。このトロイの木馬は、暗号資産を盗むことを目的としています。マイクロソフトのインシデントレスポンスチームは、3 月 17 日のブログ記事で、昨年 11 月に「StilachiRAT」と呼ばれるこのマルウェアを初めて検出したことを明らかにしました。このソフトウェアは、ブラウザに保存された認証情報、デジタルウォレット情報、およびクリップボードデータを盗むことができます。展開後、攻撃者は StilachiRAT を利用して 20 種類の暗号通貨ウォレット拡張機能の設定情報をスキャンし、Coinbase Wallet、Trust Wallet、MetaMask、OKX Wallet などの暗号ウォレットデータを盗むことができます。マイクロソフトの分析によれば、「RAT 機能を含む StilachiRAT の WWStartupCtrl64.dll モジュールの研究は、ターゲットシステムから情報を盗むために多様な手段を採用していることを示しています。」他の機能に加えて、このマルウェアは Google Chrome のローカルステートファイルに保存された認証情報を抽出し、パスワードや暗号鍵などの機密情報を取得するためにクリップボードの活動を監視することができます。また、イベントログを消去したり、サンドボックス内で実行されているかどうかを確認したりすることで、分析の試みを阻止する検出回避および逆証拠機能も備えています。現在、マイクロソフトはこのマルウェアの背後にいる黒幕を特定できていませんが、情報を公開することで潜在的な被害者の数を減らすことを期待しています。マイクロソフトは、ユーザーが悪意のあるソフトウェアの被害者にならないように、デバイスにアンチウイルスソフトウェアをインストールし、クラウドベースのフィッシング対策およびマルウェア対策コンポーネントを使用することを推奨しています。

ChainCatcher のメッセージによると、Decrypt の報道では、ネットワークセキュリティ会社 Kaspersky（カスペルスキー）が、ハッカーが著作権の苦情を利用して YouTube コンテンツクリエイターを脅迫し、動画の説明に暗号通貨マイニングトロイの木馬 SilentCryptoMiner を追加させていることを発見しました。このマルウェアは XMRig に基づいており、Ethereum、Ethereum Classic、Monero、Ravencoin などの暗号通貨をマイニングするために使用され、ビットコインブロックチェーンを通じてボットネットを制御します。ハッカーの主なターゲットは、Windows Packet Divert ドライバーのインストールチュートリアルを提供している YouTuber で、彼らは最初に動画に対して虚偽の著作権苦情を申し立て、その後クリエイターに連絡して自分がドライバーの開発者であると主張し、悪意のあるリンクを追加するよう要求します。現在、6万人のフォロワーを持つ YouTuber が被害を受けており、4万人以上が感染したファイルをダウンロードしたとされ、Kaspersky は少なくとも 2,000 台のデバイスが感染していると推定しています。Kaspersky のセキュリティ研究者 Leonid Bezvershenko は、ハッカーが YouTuber と視聴者の間の信頼を利用していると警告しており、このような脅威は Telegram などのプラットフォームにも広がる可能性があると述べています。彼は、ユーザーに対してウイルス対策ソフトを無効にするよう求めるチュートリアルを信じないようにし、ファイルをダウンロードする前にその出所を確認することを推奨しています。

ChainCatcher のメッセージ、SlowMist の最高情報セキュリティ責任者 23pds が投稿をリマインドしました。最近、著名な暗号通貨盗難トロイの木馬 MacOS Stealer が突然オープンソース化されました。以前は、その攻撃ソースコードが 1 BTC の価格で販売されていましたが、現在のオープンソース化は、より多くの悪意のある攻撃者がこのツールを簡単に入手できることを意味します。これは、攻撃者が「一人一台」の攻撃ライブラリを持つ可能性があるだけでなく、より隠れた複雑な攻撃手法を生み出す可能性があり、暗号通貨資産の安全に対してより大きな挑戦をもたらします。

ChainCatcher のメッセージ、dYdX 財団の CEO Charles d'Haussy がソーシャルメディアで投稿し、明日の dYdX Day イベントで、スピーカーが堀、トロイの木馬、フライホイールに関する秘密を明らかにすると述べました。

ChainCatcher のメッセージ、ネットワークセキュリティ会社 Doctor Web は最近、オフィスプログラム、ゲームチートプログラム、オンライン取引ボットなどの合法的なソフトウェアに偽装したマルウェアを検出したと報告しています。この暗号通貨のハイジャックと盗難ソフトウェアは、主にロシアで 28,000 人以上のユーザーに感染しており、ベラルーシ、ウズベキスタン、カザフスタン、ウクライナ、キルギス、トルコも含まれています。Doctor Web によると、ハッカーは約 6,000 ドル相当の暗号通貨を取得しただけです。しかし、マルウェアの作成者が暗号通貨のマイニングからどれだけの利益を得たかは不明です。このネットワークセキュリティ会社は、マルウェアの出所には詐欺的な GitHub ページや悪意のあるリンクを含む YouTube の動画説明が含まれていると述べています。デバイスが感染すると、秘密裏に展開されたソフトウェアは計算リソースをハイジャックして暗号通貨をマイニングします。"Clipper" は、ユーザーがデバイスのクリップボードにコピーした暗号財布のアドレスを監視し、その後、マルウェアはそれを攻撃者が制御するアドレスに置き換えます - これが彼らが少量の暗号通貨を盗む方法です。

ChainCatcher のメッセージによると、The Block の報道で、Messari の研究副社長 Maartje Bus は次のように述べています。「Memecoin は引き続き暗号通貨市場の重要な構成要素であり、新しい資産クラスになる可能性があります。暗号通貨はしばしば一般の人々のユースケースがないために批判されますが、これは公平なコメントです。しかし実際には、Memecoin は成功裏に人々をオンチェーンに引き込んでいます。」

ChainCatcher のメッセージによると、ウーによれば、元従業員がトロイの木馬を設定したため、iToken（旧火币ウォレット）の一部ユーザーのリカバリーフレーズまたは秘密鍵が漏洩したとのことです。ユーザーからのフィードバックによると、今週iTokenシステムは一部のウォレットアドレスに安全リスクがあることを警告しました。安全機関からの報告によれば、Refundyourcoinsが資産保護を実施し、一部のユーザーアドレスから資金を安全なアドレスに移転しました。Refundyourcoinsは資産を取り戻すための機能を導入する予定で、BTC、ETH、TRX、XRPの4つのチェーンが関与しています。一部のユーザーの資金はすでに盗まれた疑いがあり、盗まれたユーザーが提供したハッカーのアドレスによると、そのアドレスは5つのアカウントを盗み、合計139万ドルに達しています。これは9月2日に発生しました。HTXはウーに対して、火币HTXとは無関係であると応じました。買収前の元火币従業員の個人的な行動としてトロイの木馬を設定し、他人のリカバリーフレーズや秘密鍵を盗んだ件については、現在調査中です。HTXは積極的に協力し、犯罪を取り締まる方針です。