Silent Swap: 高度な暗号通貨盗難マルウェア
マカフィーの高度な脅威研究チームのサイバーセキュリティ研究者たちは、「Silent Swap」と呼ばれる非常に洗練された暗号通貨盗難マルウェアキャンペーンを発見しました。このマルウェアは、悪意のあるブラウザ拡張機能を利用してユーザーのクリップボードを傍受し、変更し、正当な暗号通貨ウォレットアドレスを偽のものと入れ替えます。
悪意のある行為者たちは、Bitcoin (BTC)、Ethereum (ETH)、XRP、Bitcoin Cash、Dash、その他の暗号通貨を狙っています。Silent Swapは、従来の「クリプトクリッパー」とは異なり、その驚くべき洗練度が特徴です。
感染のメカニズム
このキャンペーンは、高度なブラウザ操作、分散型コマンド&コントロール(C2)インフラストラクチャ、その他の最先端技術に依存しています。感染は通常、被害者が署名されていない .NET または Golang インストーラーをダウンロードすることから始まります。これらはしばしば、正当なソフトウェアの無料版やクラック版として偽装されています。
インストーラーは、その後、無害な「Googleノート」アプリケーションを装った悪意のある拡張機能を展開します。Silent Swapは、ブラウザの設定ファイルを改ざんすることで、Google Chrome、Microsoft Edge、Brave、OperaなどのChromiumベースのブラウザに強制的にサイドロードされます。
通常、Chromiumブラウザはセキュリティ検証データを保存しますが、Silent Swapはコードを注入した後にこれらのセキュリティ値を再計算し、更新することでこの防御を回避します。
拡張機能の動作
「Googleノート」拡張機能は、無知な被害者によってインストールされると、侵入的な権限を自ら付与します。拡張機能がBTC、ETH、XRP、Bitcoin Cash、またはDashの正規表現パターンに一致するコピーされたアドレスを検出すると、ハードコーディングされた置き換えを使用するのではなく、攻撃者のバックエンドサーバーに問い合わせを行います。
Silent Swapの背後にいる悪意のある行為者たちも、マルウェアにコマンド&コントロール(C2)ドメインをハードコーディングしていません。代わりに、「EtherHiding」と呼ばれる技術を利用しています。
被害の集中
Silent Swapは、特にインドにおいて被害者の集中が高い、世界的に分散した感染の足跡を持っています。