Phantom wallet

ハッカーは、パスワードを盗むマルウェアのインストールと暗号通貨ウォレットの盗難につながる新しい Phantom セキュリティ アップデートの警告を装って、Solana 暗号通貨の所有者に NFT をエアドロップしています。

この進行中の攻撃は 2 週間前に始まり、Phantom の開発者からの警告であると主張する「PHANTOMUPDATE.COM」または「UPDATEPHANTOM.COM」というタイトルの NFT が送信されました。

NFT を開くと、ウォレットの所有者は、新しいセキュリティ アップデートがリリースされたこと、同封のリンクをクリックするか、サイトにアクセスしてダウンロードしてインストールする必要があることが通知されます。

「Phantom では、すべてのユーザーがウォレットを更新する必要があります。これはできるだけ早く行う必要があります」と、偽の Phantom 更新 NFT の警告が表示されます。

「そうしないと、ハッカーが Solana ネットワークを悪用して資金を失う可能性があります。www.updatePhantom.com にアクセスして、最新のセキュリティ アップデートを入手してください。」

偽の Phantom セキュリティ アップデート NFT
偽の Phantom セキュリティ アップデート NFT
ソース: BleepingComputer

これらのサイトに任意のデバイス (デスクトップまたはモバイル) からアクセスすると、サイトは Phantom_Update_2022-10-08.bat [ VirusTotal ] という名前の Windows バッチ ファイルを DropBox から自動的にダウンロードします。以前のキャンペーンでは、Phantom_Update_2022-10-04.exe という名前の実行可能ファイルをダウンロードしていました。

バッチ ファイルが起動されると、管理者権限で実行されているかどうかがチェックされ、そうでない場合は、許可を求める Windows UAC プロンプトが表示されます。

管理者権限を要求する Windows UAC プロンプト
管理者権限を要求する Windows UAC プロンプト
ソース: BleepingComputer

UAC プロンプトが受け入れられると、PowerShell スクリプトが起動され、さらにコマンドを解読して Windows で実行します。

偽の Phantom Update サイトからダウンロードされたバッチ ファイル
偽の Phantom Update サイトからダウンロードされたバッチ ファイル
ソース: BleepingComputer

最終的に、windll32.exe 実行可能ファイル [ VirusTotal ] が GitHub からダウンロードされ、C:Users<username>AppDataLocal フォルダーから実行されます。

Windowsにインストールされたwindll32.exeマルウェア
Windowsにインストールされたwindll32.exeマルウェア
ソース: BleepingComputer

VirusTotal によると、windll32.exe ファイルはパスワードを盗むマルウェアで、履歴、Cookie、パスワードなどのブラウザ情報や、SSH キーなどの情報を盗もうとします。

現在拡散されている特定のパスワードを盗むトロイの木馬が何であるかは不明ですが、以前のキャンペーンでは lib64.exe [ VirusTotal ] というファイル名が配布され、 MarsStealerとして識別されました。

MarsStealer は、2020 年に登場した情報を盗むマルウェアで、一般的なすべての Web ブラウザー、2 要素認証プラグイン、および複数の暗号通貨拡張機能とウォレットからデータを盗みます。

このキャンペーンの目的は、暗号通貨のウォレットとパスワードを盗み、攻撃者がすべての暗号資産を盗み、被害者の他のアカウントを侵害できるようにすることです。

偽の Phantom セキュリティ アップデートをインストールした被害者は、すぐにウイルス対策プログラムを使用してコンピューターをスキャンし、仮想通貨の資金と資産を既存の Phantom ウォレットから新しいウォレットに移す必要があります。

次に、被害者は、暗号通貨取引プラットフォーム、オンライン ウォレット、銀行口座、電子メール、またはその他の機密性の高いプラットフォームに焦点を当てて、使用するすべてのサイトでパスワードを変更する必要があります。

最終的に、被害者は、アクセスするサイトごとにパスワードを一意のものに変更して、あるサイトでの資格情報の漏えいが他のサイトに影響を与えないようにする必要があります。