Crypto Clipper(クリプトクリッパー)は、パソコンやスマートフォンのクリップボード(コピー&ペーストの履歴)を監視し、仮想通貨の送金先ウォレットアドレスを攻撃者のものにすり替えるマルウェアです。
この種のマルウェアは新しいものではなく2018年などかなり前から確認されています。
しかしこの領域のマルウェアも時間の経過とともに変化が起こっています。
最近確認されている例の場合、単に「アドレスを書き換える」という従来の枠組みを超え、高度なサイバースパイ(APT)攻撃に近い技術が一般の金銭目的マルウェアに組み込まれてきている点が最大の新規性です。
具体的な新規要素は以下の4点に集約されます。
- TorネットワークによるC2通信の隠蔽(高い新規性)
- 従来のクリッパー
攻撃者が用意した固定のIPアドレスや、通常のドメイン(クリアウェブ)を介して通信するため、セキュリティ製品に通信先をブロックされやすい欠点がありました。 - 今回の新規性
マルウェアの内部にポータブル版のTorクライアント(ugate.exe)を同梱しています。
ローカル環境でプロキシを立ち上げ、通信をすべて「.onionドメイン(ダークウェブ)」へルーティングします。
これにより、ネットワーク監視による検知やブロックが極めて困難になりました。
- 従来のクリッパー
- USBを介した「ワーム型」の自己拡散機能
- 従来のクリッパー
メールや偽サイトから「単発で感染」させるものが主流でした。 - 今回の新規性
感染したPCにUSBメモリが挿入されると、中の正規ファイル(.doc、.pdfなど)を隠し、同じ名前の悪意あるショートカット(.lnk)を自動生成します。
ユーザが気づかずにそのファイルを開くと周囲のPCへ次々と感染が広がる、昔の「ワーム」のような強力な拡散力を備えています。
- 従来のクリッパー
- 単なる窃盗犯から「バックドア(遠隔操作)」への変貌
- 従来のクリッパー
データを盗む、アドレスを書き換えるだけの「一過性のタスク」で終了していました。 - 今回の新規性
C2サーバから 「EVAL」コマンド を受け取ると、攻撃者が送り込んできた任意のJavaScriptコードをリアルタイムで実行(リモートコード実行)する機能を持ちます。
つまり、一度感染すると、後からどんな悪意ある機能でも追加できる「遠隔操作の裏口」として機能します。
- 従来のクリッパー
- 執拗な永続化とセキュリティ回避(ASRやAVの回避)
- 従来のクリッパー
タスクマネージャーなどでプロセスを見つければ強制終了できました。 - 今回の新規性
タスクマネージャーの起動を検知すると自動で身を隠すアンチ分析機能を搭載しています。
さらに、Windowsのタスクスケジューラに複数のタスクを登録し、片方が消されてももう片方が復活させるなど、システム内に執拗に居座り続けます。
- 従来のクリッパー
これらの要素をあわせて評価する場合、これまで低機能だった資産泥棒マルウェアが、国家系ハッカーが使うような『検知困難で、自己拡散し、何でもできる万能バックドア』へと凶悪化しているのが現状です。
Crypto Clipperの進化に対し、組織的なエンドポイント対策(EDR)の強化とセキュリティ教育の徹底が急務です。
この脅威は企業の社内ネットワーク全体へ被害を及ぼす可能性があるため、最新の脅威動向を把握し、サプライチェーン対策を講じることが強く求められます。
Crypto Clipper uses Tor and worm-like propagation for persistence and control
https://www.microsoft.com/en-us/security/blog/2026/06/17/crypto-clipper-uses-tor-worm-like-propagation-for-persistence-control/
| この記事をシェア |
|
|---|
