Crypto Clipper Windows攻撃キャンペーン
セキュリティ研究者らは、2026年2月から活動している、Windowsベースの高度な暗号通貨不正コピー攻撃の詳細を明らかにした。この攻撃は、自己増殖可能なクリップボード監視マルウェアを使用し、通信インフラを隠蔽するためにTor匿名ネットワークを利用している。
従来のマルウェアは標準的なインストーラーや公開されたコマンド&コントロール(C2)サーバーに依存していますが、この脅威はポータブルなTorクライアントを展開し、すべてのトラフィックをローカルのSOCKS5プロキシ経由でルーティングします。仮想通貨の窃盗、データ漏洩、リモートコード実行機能を組み合わせることで、このマルウェアはクリッパーとしてだけでなく、軽量なバックドアとしても機能します。
目次
Clipperマルウェアの動作原理
Clipperマルウェアは、被害者のクリップボードの活動を密かに監視し、メモリにコピーされた機密情報を傍受するように設計されています。その主な目的は、既知のブロックチェーン形式に関連付けられたウォレットアドレスを特定し、攻撃者が制御する代替アドレスに置き換えることで、暗号通貨取引を操作することです。その結果、正当な受取人宛ての資金が、被害者の知らないうちに不正に送金される可能性があります。
このキャンペーンは、Windows Script HostとActiveXベースの機能を利用して、組み込みのTorプロキシを起動し、隠蔽されたC2サーバーと通信します。マルウェアは、クリップボードを継続的に監視し、スクリーンショットをキャプチャし、暗号通貨関連情報を盗み出し、ウォレットアドレスをリアルタイムで置き換えます。
USBベースの感染経路とワーム機能
攻撃は、リムーバブルUSBストレージデバイスを介して悪意のあるWindowsショートカット(LNK)ファイルを配布することから始まります。被害者がこれらのショートカットのいずれかを開くと、ワームコンポーネントが起動します。マルウェアはまずシステムが既に感染しているかどうかを判断し、感染が検出されなかった場合にのみ残りのペイロードをダウンロードします。
LNKペイロードは、接続されているUSBデバイスを積極的に検索し、DOC、XLSX、PDFファイルなどの一般的なドキュメント形式を検出します。検出されたファイルは隠蔽され、同じ名前の悪意のあるショートカットファイルに置き換えられます。この巧妙な手口により、ユーザーは正規のドキュメントを開こうとした際に、知らず知らずのうちにマルウェアを実行してしまう可能性が高まります。
最初の侵害にとどまらず、このワームは感染していない他のUSBデバイスにも感染を広げる役割を担っています。また、ワームと窃盗コンポーネントの両方に対してスケジュールされたタスクを作成することで、永続的な侵入経路を確立します。
高度な回避と持続的なコマンド実行
クリッパーコンポーネントは、WScriptとActiveXObjectを使用してオペレーティングシステムと直接やり取りします。検出される可能性を低減するため、マルウェアはアクティブなプロセスをチェックし、タスクマネージャーが実行されている場合は自身を終了します。
実行の最終段階では、名前が変更されたTorバイナリが隠しウィンドウで起動されます。その後、マルウェアは固有の被害者識別子を生成し、それをリモートインフラストラクチャに登録します。登録後、マルウェアは継続的な動作ループに入り、約500ミリ秒ごとにクリップボードの内容を監視しながら、C2サーバーにコマンドをポーリングします。
このマルウェアは、暗号通貨ウォレットのデータ、シードフレーズ、秘密鍵を収集するだけでなく、スクリーンショットをキャプチャしてTorネットワーク経由で送信します。C2サーバーがEVALコマンドで応答した場合、攻撃者が提供したコードが侵害されたシステム上で動的に実行され、脅威の能力が大幅に拡張されます。
主要指標と防御策に関する推奨事項
セキュリティチームは、静的なマルウェアシグネチャだけに頼るのではなく、挙動検出技術に重点を置くことを推奨します。特に、疑わしいPowerShellベースの画面キャプチャ活動や、curl、cmd.exe、PowerShellなどのユーティリティやその他の予期しない実行ファイルを起動するためにWScriptやCScriptといったWindowsスクリプトエンジンが異常に使用されるケースには注意が必要です。
推奨される防御策は以下のとおりです。
- すべてのリムーバブルメディアの自動実行および自動再生機能を無効にし、グループポリシーオブジェクト(GPO)を使用してUSBデバイスからのLNKファイルの実行をブロックし、wscript.exeおよびcscript.exeの不要な使用を制限します。
- 金融取引や仮想通貨関連業務を扱うシステムを監視し、異常なクリップボード操作、不正な画面キャプチャ行為、および疑わしいTor関連ネットワーク通信を検出する。
この脅威が際立っている理由
今回の攻撃は、金銭目的のマルウェアの高度化を如実に示している。攻撃者は、USBメモリを利用したワーム拡散、クリップボードの乗っ取り、Torによる難読化通信、スクリーンショットの流出、リモートコード実行といった機能を単一のツールキットに統合することで、仮想通貨資産の窃盗と感染システムへの長期アクセス維持の両方を可能にする、汎用性の高い脅威を作り出した。さらに、隠蔽されたサービスインフラストラクチャの使用は、検出と駆除を一層困難にし、積極的な行動監視が重要な防御戦略となる。
