Inferno Drainerの現状
暗号通貨を盗むマルウェアInferno Drainerは、表向き活動を停止しているにもかかわらず、依然として運用を継続しており、過去6ヶ月間で900万ドル以上がCrypto Walletから盗まれました。
サイバーセキュリティの警告
サイバーセキュリティ企業Check Point Research(CPR)によると、再発したマルウェアキャンペーンにより、30,000以上のCrypto Walletが標的となっています。開発者は2023年11月に運用を停止したと主張していますが、CPRの広報担当者は、以下のように述べています:
「データはドレイナーのJavaScriptコードのリバースエンジニアリング、C&Cサーバーから受信した構成の復号、オンチェーンアクティビティの分析に基づいている。」
観察されたケースの大部分はEthereumとBinance Chainに関連しています。
技術的な特性
CPRのアナリストによると、2023年に展開されたInferno Drainerのスマートコントラクトは現在もアクティブであり、最新バージョンは以前のものよりも改善されています。このマルウェアは使い捨てのスマートコントラクトとオンチェーンの暗号化された構成を利用することで、攻撃の検出と防止を非常に困難にしています。
加えて、コマンド&コントロールサーバーとの通信はプロキシベースのシステムを通じて難読化されており、追跡がさらに困難になっています。
フィッシングキャンペーンとの関連
Inferno Drainerの復活は、Discordユーザーを狙ったフィッシングキャンペーンとも同時に発生しています。CPRアナリストによると、このキャンペーンはソーシャルエンジニアリングの手法を用い、ユーザーを正当なWeb3プロジェクトのウェブサイトから、人気のDiscordボットであるCollab.Landの認証UXを模倣した偽サイトにリダイレクトさせています。偽のCollab.Landサイトは、暗号通貨を盗むドレイナーをホストし、被害者に悪意のあるトランザクションへのサインを強要することで、攻撃者が資金にアクセスできるようにします。
注意喚起と対策
「ターゲットを絞った欺瞞と効果的なソーシャルエンジニアリング戦術を組み合わせることで、このマルウェアキャンペーンはブロックチェーントランザクション分析を通じて特定された安定した財務フローを生み出している」とCPRアナリストは述べています。暗号通貨ユーザーは、見知らぬプラットフォームとやり取りする際には特に注意が必要です。
また、CPRが特定した偽Collab.Landボットは、正当なボットと「微妙な視覚的違い」しか持っておらず、騙すために用いるサイバー犯罪者は「模倣をさらに洗練させ続ける可能性が高い」と研究者は指摘しています。
正当なCollab.Landサービスは、ユーザーがサインを通じてウォレットを確認することを要求しますが、経験豊富な暗号通貨ユーザーであっても、偽ボットが提示された際に警戒心を緩めるかもしれないと懸念されています。このため、いかなるサービスにウォレットを接続する前に、その信頼性を確認することがますます重要です。
マルウェアキャンペーンの進化
Inferno Drainerの復活は、最近浮上したいくつかのマルウェアキャンペーンの一例であり、ハッカーたちは、ハッキングされたメールリストやオープンソースのPythonライブラリを標的にすることや、偽のAndroidフォンにトロイの木馬をプリロードするなど、ますます高度な手法を用いて暗号通貨を盗むマルウェアの配信方法を進化させています。
