二重のトラブル:暗号資産を盗むDoubleFinger

高度なマルウェアDoubleFinger(ダブルフィンガー)が、仮想通貨ウォレットを狙うスティーラーGreetingGhoulをダウンロードする仕組みについて解説します。

ありふれたビットコインの採掘詐欺(英語)から数億ドル規模の壮大な仮想通貨(暗号通貨)強盗事件まで、犯罪者は、あらゆる手を使って暗号通貨を盗もうと試みています。

暗号資産の所有者にとっては、あらゆる場面に危険が潜んでいます。つい最近では、見た目は本物そっくりのハードウェアウォレットが実は細工された偽物で、それを知らずに使っていた人がお金を盗まれてしまった事例についてお話しました。今回当社の専門家が発見した新たな脅威とは、DoubleFingerローダーを使った高度な攻撃で、暗号資産のスティーラーGreetingGhoulとリモートアクセス型トロイの木馬Remcosを同時に使用したものです。

DoubleFingerはどのようにGreetingGhoulをインストールするのか

当社の専門家は、この攻撃が高度な技術レベルであること、また多段階の性質を持つことから、持続的標的型(APT)攻撃と類似していることを指摘しています。DoubleFingerの感染は、悪意あるPIFファイルが添付された電子メールによって拡散されます。メール受信者が添付ファイルを開くと、以下のような連鎖が始まります:

ステージ1. DoubleFingerはシェルコードを実行し、画像共有プラットフォームImgur.comからPNG形式のファイルをダウンロードします。しかし、実際にダウンロードされるのは画像ファイルではありません。攻撃のステージ2で使用するローダー、正規のjava.exeファイル、そしてステージ4で後に展開される別のPNGファイルなど、暗号化された複数のDoubleFingerコンポーネントが含まれています。これらは次の攻撃ステージで使用されます。

ステージ2. DoubleFingerステージ2のローダーは、正規のjava.exeファイルを使用して実行され、その後、ダウンロード、復号、DoubleFingerのステージ3を起動する別のシェルコードが実行されます。

ステージ3. このステージでは、DoubleFingerはコンピューターにインストールされたセキュリティソフトウェアをバイパスするための一連の作業をします。続いてローダーは、ステージ1で言及したPNGファイルを復号し、ステージ4を起動します。ちなみに、このPNGファイルには、悪意のあるコードだけでなく、マルウェアの名前と同じファイル名の画像も含まれています:

DoubleFingerの名前の由来となった2本の指。(注:英語とは異なり、親指を「指」と定義する言語もあります)

DoubleFingerの名前の由来となった2本の指。(注:英語とは異なり、親指を「指」と定義する言語もあります)

ステージ4. この段階では、DoubleFingerはProcess Doppelgängingと呼ばれる技術を使用してステージ5を起動します。これにより、正規のプロセスをステージ5のペイロードを含む修正されたプロセスに置き換えます。

ステージ5. 上記のすべてのステージを終えた後、DoubleFingerは本来の目的である、最終的なペイロードを含む別のPNGファイルの読み込みと復号の作業に入ります。これがGreetingGhoulクリプトスティーラーで、システムにインストールされ、タスクスケジューラーで毎日特定の時間に実行されるように設定されています。

GreetingGhoulはどのように仮想通貨ウォレットを盗むのか

DoubleFingerローダーが全てのプロセスを終えると、スティーラーGreetingGhoulの番です。このマルウェアには、2つの補完的なコンポーネントが含まれています:

1. システム内の仮想通貨ウォレットのアプリケーションを検知し、攻撃者が関心を持つデータ(ユーザーの秘密鍵とシードフレーズ)を盗むもの

2. 暗号通貨アプリケーションのインターフェイスを被せて、ユーザーの入力を傍受するもの

GreetingGhoulが仮想通貨ウォレットアプリケーションのインターフェイスにかぶさっている例

その結果、DoubleFingerの背後にいるサイバー犯罪者は、被害者の仮想通貨ウォレットを制御し、そこから資金を引き出すことができるようになります。

当社の専門家は、DoubleFinger変異種を複数発見し、うちいくつかは、犯罪者に比較的よく使用されるリモートアクセス型トロイの木馬Remcosを感染したシステムにインストールすることを確認しました。その目的は、「REMote COntrol & Surveillance」という名前でおわかりいただけるでしょう。つまり、Remcosを使用して、サイバー犯罪者が全ユーザーの行動を観察し、感染したシステムを完全に制御することを可能にします。

仮想通貨ウォレットを保護する方法

暗号資産は、サイバー犯罪者にとって格好のターゲットであり、この先も彼らに狙われ続けると思っても間違いありません。すべての暗号投資家はセキュリティについて真剣に考える必要があります。最近のブログ記事「暗号資産を安全に管理するための4つのヒント」を一読することをお勧めします。ここでは、そのブログからの重要なポイントを要約してご紹介します。

1.ハッカーに狙われることを常に忘れずに。暗号通貨の世界にはありとあらゆる詐欺師がいます。新しい投資のチャンスに巡り合ったと思っても、必ずその企業、個人、またはウェブサイトが信頼できるものであるかどうかを徹底的に確認します。

2.暗号資産のリポジトリを複数作成します。ホットウォレット(現在の取引用)とコールドウォレット(長期投資用)を組み合わせて使用するのも一つの方法です。

3.サイバー犯罪者がコールドウォレットをどのように攻撃するか、複数の事例について知識を持ちましょう。

4.ハードウェアウォレットは、信頼できる販売元やサプライヤーからのみ購入します。攻撃者がよく知られているブランドの偽物を作って、オンラインオークションや掲示板で販売していた事例があります

5.改ざんされた形跡がないかくまなく確認します。傷、接着剤、コンポーネントが一致するかなど、気になるところがあれば使用を中止しましょう。

6.ファームウェアを確認します。ハードウェアウォレットのファームウェアは正規のもので、最新のバージョンのものでなければなりません。製造元のウェブサイトで最新版を確認することで可能です。

7.ハードウェアウォレットのリカバリーシードをパソコンに入力したり他人を共有してはなりません。ハードウェアウォレットのベンダーも、そのような情報をリクエストをすることは決してありません。

8.パスワード、キー、シードフレーズを保護しましょうもちろん、秘密鍵やシードフレーズは、どんな状況でも他人と共有してはなりません。

9.自分自身を守りましょう。仮想通貨ウォレットの管理に使用するすべてのデバイスに、信頼性の高い保護機能を必ずインストールしてください。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?