Bitcoin
3月上旬、何者かが Mt.Gox 社の CEO、マーク・カーペレス(Mark Karpeles)氏の個人ブログと reddit のアカウントを乗っ取り、そこにファイル「MtGox2014Leak.zip」を投稿しました。
投稿では、あたかもこのファイルにMt.Gox社の取引に関する重要な情報や、Mt.Gox 社のデータにリモートアクセスするための特別なアプリケーションが格納されているように見せかけています。しかし実際に格納されていたアプリケーションは、ユーザーのウォレットファイル(wallet.dat)を探し出してBitcoinを盗む目的で作成されたマルウェアでした。結局のところ、今回のハッキング事件は、Mt.Gox に対する人々の興味を利用し、Bitcoin を盗むマルウェアに感染させるための罠であったようです。
投稿されたzipファイルには、さまざまなデータが含まれ、その中にはMt.Gox の取引に関する「公開済みの」データと共に、Windows 用 と Mac用のマルウェアも含まれています。
投稿された zip ファイルの内容:
Kaspersky Labでは、これらのマルウェアをWindows版のトロイの木馬「Trojan.Win32.CoinStealer.i 」と、Mac (OSX) 版「Trojan.OSX.Coinstealer.a」として検知しています。これらはいずれも、クロスプラットフォームに対応するアプリケーション開発用プログラミング言語LiveCode で作成されています。
アプリケーションを実行すると、Mt.Gox を所有する会社 Tibanne Co. Ltd. のデータベースにアクセスするための業務用ソフトウェアを模した画面が開きます。
実行されたアプリケーション画面:
この LiveCode のアプリケーションには、暗号化・圧縮されたバイナリの形でマルウェアのソースコードが埋め込まれています。アプリケーションの実行によって、新たにTibanneSocket.exeが作成・実行され、「bitcoin.conf」と「wallet.dat」の 2 つのファイルが探し出されます。wallet.datは仮想通貨である Bitcoin のユーザーにとって非常に重要なデータファイルです。このファイルが暗号化されていない状態でサイバー犯罪者の手に渡ると、そのユーザーが所有するアカウントのすべての Bitcoin へのアクセスが可能になってしまいます。
Bitcoin wallet 検索のソースコード:
さらにこのトロイの木馬は、Bitcoin 関連のファイルを発見すると、その内容を、ある Web サーバーに転送します。
通信コードのサンプル:
マルウェアの作者らは、ソーシャルエンジニアリングの手法や世間の関心事を利用してマルウェアを拡大させます。今回の事件も、ある事象に注目する人々を狙ったケースであると言えるでしょう。
ヒント