【ダイジェスト】
Appleユーザーを狙った新たなマルウェアが、BitcoinやExodusなどの暗号通貨ウォレットアプリケーションを標的にしています。このマルウェアは、米国とドイツのユーザーに感染し、トロイの木馬を組み込んだ海賊版ソフトウェアを通じて配布されていると、セキュリティ企業カスペルスキーの研究者たちが報告しています。
感染の仕組みは、クラックされたアプリケーションをダウンロードしたユーザーのマシンにインストールされているExodusやBitcoinのウォレットアプリを、マルウェアに感染したバージョンに置き換えることです。ウォレットがアンロックされた後、秘密のリカバリーフレーズを盗み出すことが可能になります。
カスペルスキーのセキュリティエキスパート、セルゲイ・プザン氏によると、このマルウェアはDNS TXTレコードを使用して暗号化されたPythonスクリプトを被害者に送り、感染の第二段階を実行します。マルウェアは、初期感染時に与えられたrootアクセスを利用して、古いアプリケーションを”/Applications/”ディレクトリから削除し、新しい悪意のあるものに置き換えます。インストールとパッチ適用後、アプリケーションは正常に動作し、ユーザーはバックグラウンドで動作するマルウェアの存在に気づかない状態になります。
これらの侵害されたウォレットアプリケーションを起動すると、マルウェアはシードフレーズやウォレットのパスワードなどのデータを攻撃者が制御するコマンド&コントロール(C2)サーバーに送信します。これにより、攻撃者は被害者のデジタルウォレットを完全にコントロールする可能性があります。
プザン氏は、なぜこのマルウェアが特に新しいmacOSバージョンを狙っているのかは不明だが、このキャンペーンはまだ開発過程にあると述べています。また、攻撃者がクラックされたアプリケーションを使用する唯一の理由は、ユーザーの警戒心を解き、管理者パスワードの入力を促すことで、悪意のあるプロセスにrootアクセスを許可するためだと説明しています。
このような脅威から身を守るためには、信頼できるソースであっても、クラックされたアプリケーションや改変されたアプリケーションをダウンロードしないことが重要です。これは絶対的な方法ではありませんが、感染のリスクを大幅に減らすことができます。
バンベネク・コンサルティングのジョン・バンベネク社長は、海賊版アプリケーションをマルウェアの手段として使用すること自体は新しい技術ではないが、macOSXアプリケーションを選択し、暗号通貨ウォレットを盗む機能を持つことはユニークだと指摘しています。プライベートウォレットキーとパスフレーズのプライバシーが暗号通貨の盗難を防ぐためのセキュリティであるため、両方を盗むことで攻撃者は被害者から直ちに利益を得ることができると説明しています。
2023年には暗号通貨ウォレットの所有者を狙った多くの悪意あるキャンペーンがありましたが、カスペルスキーの発見は、一部の攻撃者が被害者の暗号通貨ウォレットの内容にアクセスし、できるだけ長く検出されずにいるために、より大きな努力をしていることを示しています。
【ニュース解説】
Appleユーザーを狙った新しいマルウェアが、特にBitcoinやExodusといった暗号通貨ウォレットアプリケーションをターゲットにしています。このマルウェアは、アメリカとドイツのユーザーに感染し、海賊版ソフトウェアを通じて配布されていることがセキュリティ企業カスペルスキーの研究者たちによって報告されました。
このマルウェアは、クラックされたアプリケーションをダウンロードしたユーザーのコンピュータにある正規のウォレットアプリを、マルウェアに感染したバージョンに置き換えることで機能します。ウォレットがアンロックされた後、秘密のリカバリーフレーズを盗み出すことが可能になり、これにより攻撃者はウォレットの中身にアクセスできるようになります。
カスペルスキーのセキュリティエキスパートであるセルゲイ・プザン氏によると、マルウェアはDNS TXTレコードを介して暗号化されたPythonスクリプトを被害者に送信し、感染の第二段階を実行します。マルウェアは、初期感染時に与えられたrootアクセス権を利用して、古いアプリケーションをコンピュータの”/Applications/”ディレクトリから削除し、新しい悪意のあるものに置き換えます。インストールとパッチ適用が完了すると、アプリケーションは正常に動作し、ユーザーはバックグラウンドで動作するマルウェアの存在に気づかない状態になります。
侵害されたウォレットアプリケーションを起動すると、マルウェアはシードフレーズやウォレットのパスワードなどのデータを攻撃者が制御するコマンド&コントロール(C2)サーバーに送信します。これにより、攻撃者は被害者のデジタルウォレットを完全にコントロールすることができます。
プザン氏は、このマルウェアが特に新しいmacOSバージョンを狙っている理由は不明だが、キャンペーンはまだ開発中であると述べています。また、攻撃者がクラックされたアプリケーションを使用する理由は、ユーザーの警戒心を解き、管理者パスワードの入力を促すことで、悪意のあるプロセスにrootアクセスを許可するためです。
このような脅威から身を守るためには、信頼できるソースであっても、クラックされたアプリケーションや改変されたアプリケーションをダウンロードしないことが重要です。これは絶対的な方法ではありませんが、感染のリスクを大幅に減らすことができます。
バンベネク・コンサルティングのジョン・バンベネク社長は、海賊版アプリケーションをマルウェアの手段として使用すること自体は新しい技術ではないが、macOSXアプリケーションを選択し、暗号通貨ウォレットを盗む機能を持つことはユニークだと指摘しています。プライベートウォレットキーとパスフレーズのプライバシーが暗号通貨の盗難を防ぐためのセキュリティであるため、両方を盗むことで攻撃者は被害者から直ちに利益を得ることができると説明しています。
2023年には暗号通貨ウォレットの所有者を狙った多くの悪意あるキャンペーンがありましたが、カスペルスキーの発見は、一部の攻撃者が被害者の暗号通貨ウォレットの内容にアクセスし、できるだけ長く検出されずにいるために、より大きな努力をしていることを示しています。
