ソフトウェアの海賊になろうとしていた人たちが、マルウェアに汚染されたツールに遭遇し、暗号財布から機密情報を盗み出していた
Microsoft Windowsの無料コピーを手に入れようとするソフトウェア・パイレーツが、マルウェアに汚染された「アクティベーション・ツール」に遭遇し、暗号財布を空にしています。
セキュリティ調査会社のRed Canary社(via PC World)によると、有名なマルウェア「Cryptbot」のシステムへの感染は、ライセンスキーを所有せずにMicrosoft WindowsやOffice製品の全機能を有効化するためにソフトウェア海賊が使用するツールである、偽のKMSPicoインストーラーにまで遡ることができました。
セキュリティツールは通常、KMSPicoをPUP(Potentially Unwanted Program)としてブロックしているため、このソフトウェアにはウイルス対策ソフトやマルウェア対策ソフトを無効にするための指示が含まれており、Cryptobotがシステム上で暴れまわることになります。
@ForensicITGuyからの新しいマルウェアの分析です。RCIntelは最近、Cryptbotのサンプルを分析し、KMSPicoの偽インストーラーにたどり着きました。ここでは、その注意点を紹介します。https://t.co/Msj1M4cKOP
– Red Canary (@redcanary) 2021年12月2日をご覧ください。
システムに導入されたCryptbotは、暗号通貨ウォレットを含む認証情報やその他の機密情報を探し出します。Cryptbotによる危険性のあるウォレットのリストは広範囲に及び、Electrum、Monero、Exodus、Ledger Liveなどのほか、ウェブブラウザ(Google Chrome、Mozilla Firefox、Brave、Operaなど)などのアプリケーションも含まれます。
KMSPicoのインストーラは、企業ネットワークでの一括ライセンス供与に使用される正規の技術であるWindows Key Management Services (KMS)を利用しているため、実際に正規のライセンスを持っていたIT部門の中には、この不正ツールを使用してシステムを起動し、誤ってCryptbotでシステムを破壊してしまったところもあると報告されています。
マルウェアは暗号を狙う
暗号通貨には高額な報酬が得られる可能性があるため、マルウェアは暗号ユーザーにとって長年の悩みの種でした。そのスキームは、システムリソースを拘束する暗号マイニングマルウェアから、ユーザーの秘密鍵を盗むことを目的とした詐欺的な暗号アプリまで多岐にわたっています。
CryptBotは、cryptocurrencyのウォレット、クッキー、決済データを盗むマルウェアで、感染したデバイスから画像を撮影することができます。今回の攻撃では、KMSPicoに偽装したMalwareが使用されており、この攻撃は侵害されたsoftwareの使用によって促進されました。CyberSecurity infosec CTF BugBounty CVE
– Cyber Security Tricks (@Mawg0ud) 2021年12月7日
最近の事例では、ある男性が、マルウェアを使って80万ドル相当のビットコインを盗んだと主張する2人のティーンエイジャーの両親を訴えました。
感染したKMSPicoのインストーラーの場合、ショートカットを使ったり、ライセンス料を払わずにソフトウェアにアクセスしようとすると、暗号ユーザーにとって非常に大きな負担となる可能性があります。