新たな暗号マルウェアの脅威
最近、新たな暗号マルウェアの脅威がデジタル資産の世界を襲っており、攻撃者たちの手法はますます巧妙かつ多様化しています。特に注目すべきは、ロシアを主なターゲットとする高度な持続的脅威(APT)グループ「Librarian Ghouls」と、Android銀行トロイの木馬から派生したクロスプラットフォームスティーラー「Crocodilus」です。
「Librarian Ghouls」の手法
「Librarian Ghouls」の最近のキャンペーンでは、AnyDeskのような正当なソフトウェアを利用し、暗号マイナーやキーロガーを隠蔽します。一度侵入されると、彼らは静かに活動し続けます。具体的には、フィッシングメールの中で支払命令などの文書に偽装し、その文書が開かれるとマルウェアが次の主要な機能を実行します:
- 4t Tray Minimizerを使って悪意のあるプロセスを隠蔽
- リモートアクセス用にAnyDeskを展開
- XMRigを利用してMoneroをマイニング
- 暗号ウォレットの認証情報とレジストリキーを盗む
2025年に新たに導入された機能として、真夜中に起動する仕組みがあります。このマルウェアは夜間のみ動作し、業務時間中のセキュリティチームによる検出を回避します。
Crocodilusの脅威
元々はトルコの銀行トロイの木馬だったCrocodilusは、CoinbaseやMetaMask、さらにはマイニングツールに偽装したアプリを通じて世界中の暗号ユーザーを狙っています。Crocodilusの新しいパーサーは外科的精度でシードフレーズを抽出し、ユーザーが偽のリンクを一度クリックするだけでウォレットが消失する可能性があります。
傾向として、Crocodilusは地域的な脅威から国際的な脅威へと進化し、悪意のあるブラウザ拡張機能やクローンデスクトップアプリ、さらにはTelegramボットをターゲットにするようになりました。
このマルウェアの最も危険な特性は、クリップボードデータ、スクリーンショット、オートフィルデータからシードフレーズを盗む能力で、被害者が自らの脆弱性を認識する前に攻撃が行われることもしばしばです。攻撃者は、侵害されたウォレットへのアクセスをダークネットフォーラムで販売し、盗まれた暗号資産のブラックマーケットを形成しています。
巧妙な詐欺手法
また、Crocodilusは無実の「サポート」番号を被害者の電話にスパム送信し、技術サポートを名乗って機密情報を引き出そうとします。ハッカーはX(Twitter)を利用し、偽のバーチャルアカウントによる詐欺的エアドロップの宣伝や、ウォレットを枯渇させるスマートコントラクトへのQRコードを広めています。
例えば、2025年5月には、ディープフェイクの「Elon Musk」がライブストリームで視聴者に「TeslaCoin」のギブアウェイ用のQRコードをスキャンするよう促し、被害者は短時間で多額の資金を失いました。
最も脅威的なトレンドの一つは、リアルタイムのディープフェイクサポートチャットの進化です。AIを駆使したアバターがX上で認識されたブランドやインフルエンサーを模倣し、被害者にシードフレーズやプライベートキーを共有させる真実味のある「ヘルプ」を提供します。
防御策と教育の重要性
2025年ガイドによると、こうした脅威からユーザーを守るためには、多層的なOPSEC(オペレーショナルセキュリティ)アプローチを取る必要があります。専門家は、高額の投資に対してハードウェアウォレットを使用し、二要素認証を有効にし、シードフレーズを決して他者と共有しないよう推奨しています。
また、定期的にウォレットの承認チェックを行い、ソフトウェアを常に最新の状態に保つことでリスクを軽減できます。攻撃者がますます革新的かつ発明的になっている中で、最も有効な防御策は、十分な教育を受けることと、常に適切に懐疑的でいることです。
