ビットコイン(BTC)やXRPなど主要な暗号資産のウォレットアドレスを、送金先入力時に攻撃者のアドレスへすり替える新たなマルウェアキャンペーンが確認された。従来のクリッパー型マルウェアより手口は巧妙で、ブラウザ拡張機能と外部サーバを組み合わせることで検知を回避するという。
ブロックチェーンメディアのU.Todayが7月1日(現地時間)に報じたところによると、McAfee Advanced Threat Researchは暗号資産窃取マルウェア「Silent Swap」を発見したと明らかにした。
Silent Swapは、ユーザーがコピーした暗号資産ウォレットアドレスを別の文字列に置き換え、送金先を攻撃者側に誘導する。一般的なクリッパー型がマルウェア内部に保存した固定アドレスを使うのに対し、Silent Swapはブラウザ拡張機能として動作し、攻撃者のサーバからリアルタイムで置換先アドレスを取得する点が特徴だ。
McAfeeの研究チームは、この仕組みを「Server-side Wallet Mapping」と説明した。ブラウザ上でコピーされた文字列が、ビットコイン、イーサリアム(ETH)、XRP、ビットコインキャッシュ(BCH)、ダッシュ(DASH)などのアドレス形式に一致すると、悪意ある拡張機能がサーバに照会し、新たなアドレスを受け取って自動的に差し替える。
感染は主に、.NETまたはGoで作成された未署名インストーラの実行を通じて始まる。こうしたインストーラは、無料ソフトやクラック版を装って配布されるケースが多いという。感染後は、「Google Note」と名乗る正規アプリ風の悪意あるブラウザ拡張機能が追加される。
標的となるのは、Google Chrome、Microsoft Edge、Brave、OperaなどのChromium系ブラウザだ。マルウェアはブラウザ設定ファイルを改ざんして拡張機能を強制的に組み込み、さらに拡張機能の完全性検証に使われるセキュリティデータも再計算して書き換えることで、検証を回避するとされる。追加された拡張機能は広範な権限を取得し、ブラウザ内で継続的に動作する。
C2(指令・制御)インフラの隠蔽手法にも特徴がある。攻撃者はC2サーバのアドレスをマルウェア本体に直接埋め込まず、「EtherHiding」と呼ばれる手法を使い、分散型インフラ経由でサーバ情報を渡して追跡を難しくしている。
McAfeeは、Silent Swapについて、高度なブラウザ操作技術と分散型のC2インフラを組み合わせた事例であり、従来のクリッパー型マルウェアより検知や遮断が難しいタイプだと評価した。
被害はすでに複数地域で確認されており、とくにインドで感染事例が集中しているという。感染規模や被害額は明らかにされていない。
専門家は今回の事例について、単純なクリップボード監視を超え、ブラウザのセキュリティ構造そのものを狙う方向に暗号資産窃取の手口が進化していると分析する。インストーラ実行後は、ブラウザ内部で送金先アドレスが自動的に書き換えられる可能性があるため、送金前に最終的な受信アドレスを必ず確認することが重要だと指摘した。