Bitdefenderは、攻撃者が仮想通貨ウォレットにアクセスし、その支配下にあるウォレットに不可逆的に資金を移動させることができる新しい情報窃取型マルウェア「BHUNT」を確認しました。
BHUNTとは
BHUNTは、エクソダス(EXODUS)、エレクトラム(Electrum)、Atomic Wallet、JAXX(ジャックス)、イーサリアム(Ethereum)、ビットコイン(Bitcoin)、ライトコイン(Litecoin)のウォレットを標的とし、ChromeやFirefoxといったwebブラウザに保存されているパスワードを窃取します。BHUNTはウォレットファイルを盗むことに特化しており、クリップボードからパスワードを取得する新たな情報窃取型マルウェアであることが特徴です。
また、BHUNTはステルス型の仮想通貨を窃盗ソフトでもあります。ThemidaとVMProtectという2つの仮想マシンパッカーを使って高度に暗号化されており、セキュリティ研究者によるマルウェアのリバースエンジニアリングや解析が阻害される仕組みになっています。このマルウェアは、CCleanerの開発元であるPiriformから盗んだデジタル署名で署名されていますが、この証明書はバイナリデータと一致しません。また、マルウェアは、公開されているPastebin(ペーストビン)ページからダウンロードした暗号化された設定スクリプトを使用しています。BHUNTがインストールされると、explorer.exeに注入されます。
BHUNTには現在、5つのモジュールが確認されており、1つはウォレットファイルの内容を盗むもの、1つはペイロードをダウンロードするモジュール、1つはクリップボードからパスワードを窃取し、攻撃者が作成したC2サーバーに流出させるモジュール、1つはブラウザパスワードの窃取、最後のモジュールは感染の痕跡をクリーンアップするモジュールとなっています。
このマルウェアは、南アジア、フィリピン、ギリシャを中心に世界中の攻撃で使用されており、Redline
Stealerのような他の情報窃盗マルウェアと同様の方法で、改ざん(クラック)したソフトウェア・ゲームの配布サイトやKMSpicoなどの製品アクティベーターを通じて配布されているようです。
仮想通過を持つ「全員」 が狙われている
企業は大量の仮想通貨を保有している場合があるため、ハッカーたちは企業の仮想通貨ウォレットにアクセスできれば、多額の金銭を得ることができると考えています。しかし、攻撃対象は既に企業だけではなく、仮想通貨を保有する個人にも行われています。仮想通貨を保有している人は、誰でも攻撃のリスクにさらされている状況です。
企業は何故、仮想通貨を使うのか
大規模な企業や組織では、国境を越えた取引をより容易にするために仮想通貨を利用することがよくあります。ビジネスの到達度を高め、取引コストを削減し、チャージバック詐欺を防止することが出来るからです。
それらの需要を背景に仮想通貨の価値が上昇し続けているため、仮想通貨ウォレットに対するサイバー攻撃は非常に活発になっています。
BHUNTの開発者は突然現れた
BHUNTのマルウェア開発者は、2020年に初めて存在を確認されました。地下市場で入手可能なWeStealマルウェアなど、主に仮想通貨ウォレットにアクセスするために使用されるマルウェアの亜種をいくつか作成しています。
現在最も一般的なマルウェアの脅威の1つであるRedline
Stealerなど、仮想通貨を盗む機能を持つマルウェア・ファミリーは他にも多数存在します。ブロックチェーンを基盤としたデータ流通プラットフォームのChainalysis(チェイナリシス)の分析によると、サイバー犯罪者は2021年に140億ドル(約1030億円)の仮想通貨を盗み、被害額は前年比79%増となっています。
情報窃取型マルウェア「BHUNT」への感染を防ぐために
マルウェアの脅威を避けるために、私たちは以下の行動を徹底することが求められます。
- 個人的に非公式のダウンロードサイトからアプリケーションやプログラムをダウンロードしない
- 海賊版ソフトウェアの入手をはじめ、その他違法な製品のアクティベーションを避ける
- すべてのエンドポイントにアンチウイルスソフトウェアを導入し、実行ファイルのダウンロードを防止する技術的ソリューションを導入するなど、仮想通貨窃取マルウェアに対する防御策を検討する
仮想通貨窃取マルウェアだけでなく、銀行口座やクレジットカードの情報を盗むトロイの木馬、マルウェアダウンローダー、スパイウェア、アドウェア、ランサムウェアは、フリーソフトのダウンロードサイトや、海賊版ソフトウェアのシェアサイトで配布されることがよくあります。
企業は従業員が不正なソフトウェアをダウンロードすることを禁止するルールを設定していますが、より効率的に仕事ができるようにしようと、そのルールを無視してフリーソフトウェアをダウンロードしようとする従業員がよくいます。
不正ソフトウェアや海賊版ソフトウェアのダウンロードをブロックする最も効果的な方法の1つは、Webフィルタリングを使用することです。WebTitanは、ハッキングサイト、P2Pファイル共有ネットワーク、およびシェアサイト、海賊版ソフトウェア、違法製品の運用が利用可能なWebサイトへのアクセスをブロックできます。
WebTitanは、実行ファイルなどマルウェアに深く関連するファイルのダウンロードを防ぐように設定することもでき、個人ユーザー、ユーザーグループ、部署、または組織全体に対して制御を実施することが可能です。
以上で、「仮想通貨ウォレットとブラウザパスワードを狙うマルウェア「BHUNT Stealer」発生」を終わります。
ここまでお読みいただき、ありがとうございました。
参考URL:BHUNT Stealer Targets Cryptocurrency Wallets and Browser Passwords