サイバー犯罪サービスとしてのマルウェアの取り締まり
「サイバー犯罪サービス」としてのマルウェアに対する世界的な取り締まりが進む中、数千万ドルの盗まれた資金が凍結されました。ユーロポールは水曜日に、最新のエンドゲーム作戦のフェーズで、4100万ユーロ(約4700万ドル)以上の犯罪暗号資産を特定し、フラグを立て、凍結したと発表しました。
マルウェアファミリーの解体
この2週間にわたる多国籍の攻撃では、SocGholish、Amadey、StealCの3つのマルウェアファミリーのインフラが解体されました。これらのマルウェアはすべて暗号ユーザーを標的としています。
2023年からサービスとして販売されているStealCは、感染したマシンからパスワード、ブラウザのクッキー、暗号ウォレットのデータをスクレイピングします。
そのコントロールパネルには、被害者のMetaMaskウォレットのシードフレーズを解読しようとするプラグインも含まれていました。Proofpointの研究者がこのマルウェアを発見しました。Amadeyは初期の足場を得てさらにマルウェアを投下し、SocGholishはロシアのグループEvil Corpに関連し、ハッキングされたウェブサイトでの偽のブラウザ更新プロンプトを通じて人々を感染させます。
攻撃の影響と警察の摘発
これらの攻撃は、ウォレットが空にされ、アカウントが乗っ取られ、ランサムウェアに至る前面を形成します。警察は326のサーバーと142のドメインを摘発し、385,000以上の侵害されたシステムからほぼ2700万の盗まれた認証情報を回収し、約15,000の感染したウェブサイトをクリーンアップしました。その多くは小規模なビジネスでした。
作戦のパートナーであるマイクロソフトは、AmadeyとStealCが5月の最初の2週間だけで世界中の140,000以上の感染したコンピュータに関連していることを明らかにしました。
インフォスティーラーの脅威
インフォスティーラーは、被害者のデバイスからウォレットファイル、プライベートキー、シードフレーズを静かに盗む主要なルートとなっています。彼らは、偽のAIツール、Steamの壁紙、海賊版ゲームのモッドなど、さまざまなベクトルを使用して暗号ユーザーを標的にしています。露出の規模は広大です。
昨年末のエンドゲーム作戦の以前の行動では、被害者から盗まれたがまだ空にされていない100,000以上の暗号ウォレットのログインデータが発見されました。
法的措置と今後の展望
マイクロソフトのデジタル犯罪ユニットは、別途、2つのマルウェアファミリーを単一の犯罪的陰謀として扱う米国の組織犯罪訴訟を初めて提起しました。CopilotなどのAIツールを使用してマルウェアを分析した結果、AmadeyとStealCは異なる犯罪者によって構築されたにもかかわらず、共有インフラ上で動作していることが判明しました。
マイクロソフトはRICO法の下で両方の作戦に関与する者を起訴し、200以上のコマンド・アンド・コントロールサーバーを妨害しました。それ以来、18,000以上の被害者コンピュータを特定し、攻撃者の制御を断つ作業を開始しました。
このような摘発はマルウェアを完全に排除することは稀であり、オペレーターは再集結する傾向があります。StealCは今月も新しいビルドを出荷しました。
現時点では、ユーロポールとそのパートナーは、被害者の警告をHave I Been Pwnedなどのサービスを通じてルーティングしており、ユーザーは自分の認証情報やウォレットの鍵がすでに犯罪者の手に渡っているかどうかを確認できます。
