“逃げ回る”マルウェアの正体、暗号資産ウォレットを狙うエレクトロラット

出回り始めておよそ1年になる陰湿なマルウェア「エレクトロラット(ElectroRAT)」が、暗号資産(仮想通貨)ウォレットを標的にしている。

サイバーセキュリティのインテザー(Intezer)の研究者は、ウォレットの暗号資産を狙い続けるエレクトロラットの仕組みを解明した。

マルウェア:悪意のあるソフトウェアの総称。サイバー犯罪者が個人情報や金融データなどを盗む目的でマルウェアを使用する。

研究者のアビガイル・メクティンガー氏は、このマルウェア攻撃には、「マーケティングキャンペーンや暗号資産関連のアプリケーション、リモート・アクセス・ツール(Remote Access Tool:RAT)」などの様々なツールが含まれていると述べる。

このマルウェアが「エレクトロラット(ElectroRAT)」と呼ばれているのは、アプリ開発のプラットフォーム「Electron」で開発されたアプリに組み込まれたリモートアクセスツールが由来する。

「新種のマルウェアが見つかるのは驚くことではない。暗号資産の価値が急騰し、マルウェアによる攻撃は収益性は高くなっている」と、暗号資産のカストディを手がけるカサ(Casa)の最高技術責任者、ジェームソン・ロップ氏は語る。

エレクトロラットの特徴

エレクトロラットは、オープンソースのプログラミング言語「Golang」を利用している。この言語は、macOSやLinux、Windowsなどの複数のオペレーティングシステムに対応している。

インテザーがまとめたレポートによると、攻撃者はドメイン登録やウェブサイト、トロイの木馬をしかけたアプリケーション、偽のソーシャルメディアアカウントを準備するという。

レポートの中でメクティンガー氏は、攻撃者は通常、ウォレットにアクセスするために使われる秘密鍵を入手しようとするが、複数のOSを標的にして、ゼロから作られたエレクトロラットのようなマルウェアは珍しいと話す。

「マルウェアをゼロから作ることで、あらゆるアンチウイルス検知を回避し、約1年にわたって気づかれずに活動することができたのだろう」とメクティンガー氏。

ロップ氏もこの指摘に同意する。このマルウェアが3つの主要なオペレーティングシステムすべてに向けてコンパイルされ、それらを標的にしていることは特に興味深いと話す。

「マルウェアの大半は、利用者の層の幅広さとOSのセキュリティの脆弱性から、Windowsのみを標的にする傾向がある」(ロップ氏)

巧みに仕かけるマルウェア

標的となるユーザーをおびき寄せるために、エレクトロラットの攻撃者は3つの異なるドメインと、複数のOSで実行されるアプリを作り出した。 

アプリをダウンロードするためのページは、この攻撃のためだけに作られ、本物に見えるようにデザインされている。

関連するアプリは、暗号資産ユーザーを特に惹きつけるように設計されている。「Jamm」と「eTrade」は取引管理アプリ、「DaoPoker」は暗号資産を利用したポーカーアプリだ。

偽のソーシャルメディアとユーザープロフィールを使い、ソーシャルメディアのインフルエンサーに広告料を支払い、「bitcointalk」や「SteemCoinPan」といった特定の暗号資産やブロックチェーンフォーラムを宣伝することで、攻撃者はアプリの認知度を上げた。プロ仕様のウェブサイトをチェックし、アプリをダウンロードするように読み手に勧める投稿に従うと、実際にはマルウェアもダウンロードすることになるのだ。

例えば、DaoPokerのTwitterには417人のフォロワーがついており、Twitterで2万5000人以上のフォロワーを抱えるソーシャルメディアのインフルエンサーがeTradeを勧めていた。当記事の執筆時点で、DaoPokerのツイッターページは運営されていた。

アプリは、ぱっと見はしっかりとしたもののように見えるが、裏では不正な行為を行っており、ユーザーの暗号資産ウォレットを狙う。これらのアプリはいまだにアクティブだ。

「ハッカーは暗号資産を確実に盗もうとする。偽の会社や偽の評判、そしてコインを盗むためのマルウェアを隠すアプリを作るのに何カ月も費やすことをいとわない」とメクティンガー氏は述べる。

エレクトロラットの脳力

エレクトロラットにはいくつかの能力があると、メクティンガー氏は述べる。「スクリーンショットやキーログをとったり、被害者のコンピューターからフォルダやファイルをアップロードすることができる。実行されると、コマンドサーバーとコントロールサーバーでコマンドを確立し、コマンドを待つ」

このマルウェアは、暗号資産ウォレットを攻撃する目的で、特に暗号資産ユーザーを標的にしているとレポートは示唆している。被害者は人気のイーサリアムウォレットアプリの「Metamask」に関連した投稿でコメントしていたとの指摘がある。研究者の分析とマルウェアの機能を考慮すると、6500人以上が被害を受けた可能性がある。

エレクトロラットの攻撃から守る方法

最初のステップが一番重要だろう。まずはこれらのアプリをダウンロードしないことだ。

一般的に、新しいアプリを検討する場合には、怪しいウェブサイトやフォーラムは避けることをロップ氏は勧める。よく知られ、適切にレビューされたソフトウェアだけをインストールすること。長い評判の歴史があり、インストールしている人たちの層が大きいアプリを探すことは大切だ。

「パソコン上に秘密鍵を保存するウォレットは使わないこと。秘密鍵は専用のハードウェアデバイスに保存するべきだ」とロップ氏はアドバイスする。

この点は、暗号資産をハードウェアのコールドウォレットに保存し、シードフレーズをパソコンに保存するのではなく、書き留めておくことの重要性を再認識させてくれる。これらのテクニックはどちらも、オンラインアクティビティを追跡するマルウェアが暗号資産やシードフレーズにアクセスできないようにしてくれる。

自分のパソコンがすでに被害にあった可能性がある場合には、二次的な対応を取ることができる。

「感染していないことを確実にするために、積極的な行動を取り、不正な行為があるかどうかデバイスをスキャンすることを勧める」とメクティンガー氏。

このマルウェアを使った攻撃を受けた被害者であると感じた場合、実行されているプロセスを打ち切り、マルウェアに関連するすべてのファイルを削除する必要があると、メクティンガー氏はレポートの中で述べている。さらにパソコンがクリーンで、悪意のないコードを実行していることを確かめる必要もある。インテザーは、Windows環境向けに「Endpoint Scanner」を、そしてLinuxユーザー向けには無料のコミュニティツール「Intezer Protect」を作成した。検知に関するさらに詳細な情報は、レポートにおいて確認できる。

そしてもちろん、資産を新しい暗号資産ウォレットに移動させ、パスワードをすべて変更することが重要だろう。

ビットコインの急騰とマルウェアの活動

ビットコインの価格が上場する中、このような攻撃が下火になることはないだろうとメクティンガー氏は言う。むしろ増加する可能性が高い。

「金銭目当てのハッカーにとっては狙い目だ」とメクティンガー氏は述べる。

攻撃者は秘密鍵を奪い取るための新しい方法を考え出すだめに、多くの資源を投入するだろうとロップ氏は話す。

「新しい手法での攻撃には、その開発に大きな労力を必要とする。新たな攻撃方法に関する知識が広まっていなければ、より多くを騙せる可能性が高く、潜在的な見返りも大きい」とロップ氏。「つまり、知らずに攻撃にさらされてしまう可能性がより高いのだ」

翻訳:山口晶子
編集:佐藤茂
画像:Shutterstock
原文:This Elusive Malware Has Been Targeting Crypto Wallets for a Year