Clipminer マルウエアが野放し状態:トランザクション・ハイジャックにより $1.7 M が盗まれた

Clipminer malware gang stole $1.7M by hijacking crypto payments

2022/06/02 BleepingComputer — 脅威アナリストたちが、Clipminer という名の暗号通貨マイニング・マルウェアの大規模キャンペーン発見し、トランザクション・ハイジャックを行うオペレーターたちが、少なくとも $1.7 million の利益を得ていることが明らかになった。Broadcom 傘下 Symantec の研究者たちによると、Clipminer は KryptoCibule マルウェアをベースにしているとのことだ。どちらのトロイの木馬も、ウォレットを盗み出し、トランザクションをハイジャックし、感染させたマシンで暗号通貨を採掘することに重点を置いている。

この新しいトロイの木馬は、発見時までに規模が膨らんでいた。そして、その動きを動マッピングしたセキュリティ研究者たちにより、Clipminer と名付けられた。この新しい動作を分析した Symantec は、盗まれた資金を受け取ったと思われる、4375 の暗号通貨ウォレット・アドレスを発見している。

Clipminer の仕組み

Clipminer は、WinRAR アーカイブとしてホストシステム上にドロップされ、自動的に抽出され、DLL をダウンロードするためのコントロール・パネル (.CPL) ファイルを起動させる。この DLL は新しいレジストリ値を作成し、ランダムなファイル名で “C: \Windows/Temp Filter” に配置される。その目的は、ホストのプロファイルを作成し、Tor ネットワークから Clipminer ペイロードをダウンロード/インストールすることである。

システム ID は、Tor 経由の HTTP GET リクエストを介して Command and Control (C2) に送信され、10MB のペイロードが “C:\ProgramData\” もしく#は、”C:\Program Files (x86)\”、”[USERPROFILE]\AppData\Local\” に受信される。

今日のレポートで研究者たちは、「このマルウェアは、実行時に持続的なスケジュール・タスクを作成し、また、同じホストへの新たな感染を防ぐための感染マーカーとして、空のレジストリキーを作成する」と指摘している。続いて、このペイロードは、ユニークなアドレスを持つ v3 Onion Service を起動し、ホストマシン上のキーボードとマウスの全動作を監視する。また、実行中のプロセスをチェックし、解析ツールを特定する。

ホスト上にアクティビティが存在せず、ユーザーが不在であることが示唆されると、利用可能な全 CPU スレッドを使用するように構成された XMRig Monero マイナーが起動される。このマシンは監視されていないため、システム・パフォーマンスの低下によって感染が判明するリスクがない。それと並行して、このマルウェアはクリップボードにコピーされた暗号通貨アドレスを常に監視し、その場で攻撃者のものと置き換えることで、支払いを迂回させる。

How Clipminer alters the wallet addresses copied by the user
How Clipminer alters the wallet addresses copied by the victim (Symantec)

安全性を確保する方法

Symantec によると、Clipminer の最初のサンプルは 2021年1月ころに出回り始め、悪意の活動は2月にペースを上げている。それ以来、このマルウェアはゲームや海賊版ソフトウェアのクラックを介して配布され、P2P Networks/Torrent Indexers/YouTube 動画で拡散されている。

Clipminer などのマルウェアに感染するリスクを最小限にするために、不明瞭なソースからソフトウェアをダウンロードすることは避けてほしい。また、クリップボード・ハイジャッカーから身を守るために、取引を開始する前に貼り付けられた暗号通貨ウォレット・アドレスが消えていることを確認してほしい。

暗号マイナーの TTP を解説する記事です。このブログ内を検索してみたら、2021年9月2日の「Atlassian Confluence の悪用は暗号マイニングの範囲に留まるか?」、9月9日「TeamTNT ボットネットの狙いは Org:潜み続けて暗号をマイニング」、12月12日「Log4Shell 攻撃を予測:不正スキャン/クリプトマイナー/Mirai/Cobalt Strike」、2022年4月21日「Linux 上の Docker API 狙う暗号マイナー・マルウェア Lemon_Duck とは?」などが見つかりました。マイナーと言っても、その基本的なアクティビティはランサムウェアなど変わりません。お気をつけください。

%d bloggers like this: