Hackers stealing crypto

MassJacker」と名付けられたクリップボード乗っ取り作戦が新たに発見され、少なくとも778,531の暗号通貨ウォレットアドレスを使用して、侵害されたコンピュータからデジタル資産を盗んでいる。

MassJackerのキャンペーンを発見したCyberArkによると、この作戦にリンクされたおよそ423のウォレットには、分析時点では95,300ドルが含まれていましたが、過去のデータでは、より重要な取引があることが示唆されています。

また、脅威行為者が中央の送金ハブとして使用していると思われる単一のSolanaウォレットがあり、これまでに30万ドル以上の取引が蓄積されています。

CyberArkは、コマンド・アンド・コントロール・サーバーからダウンロードされたファイル名と、ファイルを解読するために使用された暗号化キーがキャンペーン全体を通して同じであったことから、MassJackerの作戦全体が特定の脅威グループと関連しているのではないかと疑っています。

しかし、この作戦は、中央の管理者がさまざまなサイバー犯罪者にアクセスを販売する、マルウェア・アズ・ア・サービス・モデルに従っている可能性もあります。

Transactions on the Solana wallet
Solanaウォレットのトランザクション
ソースはこちら:サイバーアーク

CyberArkはMassJackerをクリプトジャッキング・オペレーションと呼んでいますが、この用語は被害者の処理/ハードウェア・リソースを活用した不正な暗号通貨マイニングを指すことが多いようです。

実際には、MassJackerはクリップボード・ハイジャッキング・マルウェア(クリッパー)に依存しており、これはWindowsのクリップボードにコピーされた暗号通貨のウォレット・アドレスを監視し、攻撃者のコントロール下にあるものに置き換えるマルウェアの一種です。

そうすることで、被害者は誰かに送金するつもりが、知らず知らずのうちに攻撃者に送金してしまう。

クリッパーはシンプルだが非常に効果的なツールであり、機能や動作範囲が限定されているため、特に検出が難しい。

技術的な詳細

MassJackerは、海賊版ソフトウェアやマルウェアをホストするサイト、pesktop[.]comを介して配布されています。

このサイトからダウンロードされたソフトウェアインストーラは、PowerShellスクリプトを起動するcmdスクリプトを実行し、Amadeyボットと2つのローダーファイル(PackerEとPackerD1)を取得します。

AmadeyはPackerEを起動し、PackerEはPackerD1を復号してメモリにロードします。

PackerD1は、ジャストインタイム(JIT)フッキング、関数コールを難読化するためのメタデータトークンマッピング、通常の.NETコードを実行する代わりにコマンドを解釈するためのカスタム仮想マシンなど、回避とアンチ解析の性能を高める5つの組み込みリソースを備えています。

PackerD1 は、PackerD2 を復号化して注入し、最終的に PackerD2 は、最終的なペイロードである MassJacker を解凍して抽出し、正規の Windows プロセス「InstalUtil.exe」に注入します。

MassJacker infection chain
MassJacker 感染チェーン
Source:サイバーアーク

MassJacker は、正規表現パターンを使用して暗号通貨のウォレット・アドレスをクリップボードで監視し、一致するアドレスが見つかると、暗号化されたリストから攻撃者が管理するウォレット・アドレスに置き換えます。

CyberArkは、サイバーセキュリティ研究コミュニティに対し、MassJackerのような大規模なクリプトジャッキング作戦を詳しく調べるよう呼びかけています。金銭的な被害は低いと思われるものの、多くの脅威行為者に関する貴重な識別情報が明らかになる可能性があるからです。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Red Report 2025

攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%の背後にあるトップ10のMITRE ATT&CKテクニックとその防御方法をご覧ください。