主なポイント
- 「ModStealer」と呼ばれる新たなマルウェアが、複数のオペレーティングシステム上の暗号資産ウォレットを標的にしています。
- このマルウェアは偽のリクルーター広告を通じて拡散されており、主要なウイルス対策エンジンによって検出されていません。
- このマルウェアは、56種類の異なるブラウザウォレット拡張機能から秘密鍵を盗むことができます。
「ModStealer」と呼ばれる新しいクロスプラットフォーム型マルウェアが、主要なウイルス対策ソフトウェアに検出されることなく暗号資産ウォレットを積極的に標的にしています。
このマルウェアは、macOS、Windows、Linuxシステム上のユーザーから機密データを盗むように設計されていると報告されています。発見されるまでに約1か月間活動していました。
9月11日、Apple製品に特化したメディア9to5MacがAppleデバイス管理企業Mosyleとの会話の中で初めて詳細を報じたところによると、ModStealerは開発者を狙った偽の求人広告を通じて拡散されています。
この手法は、最近大規模な暗号資産ユーザーの損失をもたらした高度なソーシャルエンジニアリング詐欺に類似した欺瞞的な手法です。
暗号資産ウォレット以外にも、このマルウェアは認証情報ファイル、設定情報、証明書も標的としています。NodeJSで書かれた高度に難読化されたJavaScriptファイルを使用し、従来のシグネチャベースのセキュリティツールによる検出を回避します。
ModStealerの動作方法
このマルウェアは、Appleのlaunchctlツールを悪用することでmacOS上で永続化を確立し、LaunchAgentとしてバックグラウンドで静かに実行されます。データはフィンランドにあるリモートサーバーに送信されますが、インフラはドイツに紐づいており、運営者の実際の所在地を隠すための手法と考えられます。
Mosyleの分析によると、Safariを含む56種類の異なるブラウザウォレット拡張機能を明確に標的としており、秘密鍵を抽出します。これは安全な分散型暗号資産ウォレットの利用が重要であることを強調しています。
このマルウェアはまた、クリップボードデータの取得、スクリーンショットの撮影、リモートコードの実行も可能であり、攻撃者に感染デバイスのほぼ完全な制御を与えます。
この発見は、暗号資産エコシステムにおける他の最近のセキュリティ侵害に続くものです。今週初めには、NPMサプライチェーン攻撃が広範囲に発生し、偽装メールを使って開発者の認証情報を盗もうとしました。
この攻撃は、Ethereum(ETH $4 690 24h volatility: 3.3% Market cap: $566.28 B Vol. 24h: $36.36 B)やSolana(SOL $240.5 24h volatility: 0.6% Market cap: $130.48 B Vol. 24h: $8.99 B)など、複数のチェーンにわたるトランザクションを乗っ取ることを目的としており、暗号資産アドレスのすり替えが行われました。
しかし、この攻撃は主に封じ込められ、攻撃者が盗んだのは約$1,000にとどまりました。これは、ハッカーが盗んだ資産を数百万ドル単位で洗浄し再投資した他の大規模な暗号資産強奪事件と比べるとごくわずかな額です。
Mosyleの研究者は、ModStealerが「Malware-as-a-Service(MaaS)」型の運用モデルに該当すると考えています。このモデルはサイバー犯罪者の間でますます人気となっており、技術的スキルがほとんどないアフィリエイトにも既製のマルウェアを販売する仕組みです。
Mosyleは、この脅威がシグネチャベースの防御だけでは不十分であり、新たな攻撃手法に先んじるためには行動ベースの防御が必要であることを示していると述べています。
