マイクロソフト、20の暗号ウォレットを狙うマルウェアを報告

マイクロソフト は、Google Chromeの拡張機能を通じて暗号通貨ウォレットを狙う新たなマルウェアの脅威について警告を発した。

についてStilachiRATとして知られるマルウェア 2024年11月にマイクロソフトのインシデント・レスポンス・チームによって確認された。

このリモート・アクセス・トロイの木馬（RAT）は、検出を回避し、感染したシステム内で持続性を維持し、機密データを盗むための高度なテクニックを採用しています。

StilachiRATは特に、MetaMask、Trust Wallet、Coinbase Wallet、TronLink、TokenPocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Phantomなど、Chrome上で人気のある20の暗号通貨ウォレット拡張機能をターゲットにしている。

このマルウェアは、財布の情報を侵害し、Chromeに保存されているユーザー名やパスワードなどの認証情報を盗むことが可能で、ユーザーのデジタル資産に重大な脅威をもたらす。

マイクロソフトは警告した：

"StilachiRATは、Google Chromeブラウザ用の特定の暗号通貨ウォレット拡張機能のリストをターゲットにしています。以下のレジストリキーの設定にアクセスし、拡張機能のいずれかがインストールされているかどうかを検証します。"

スティラチRATの動作

StilachiRATは、特にデジタル資産を保有する人々にとって、サイバー脅威における重要な進歩である。

マイクロソフトはこのマルウェアの機能を詳しく説明し、マルウェアはパスワードや暗号通貨キーなどの機密情報を抽出できることを明らかにした。グーグル・クローム クリップボードの動きを監視しながら、ローカルのステートファイルを作成する。

StilachiRATは大規模な偵察を行うことで潜入を開始する。

オペレーティング・システムの詳細、BIOSシリアル番号などのハードウェア識別子、アクティブなリモート・デスクトップ・プロトコル（RDP）セッション、カメラの存在、現在実行中のGUIアプリケーションなど、重要なシステム・データを収集します。

この情報は、WMI クエリ言語（WQL）を使用して、コンポーネント・オブジェクト・モデル（COM）の Web ベース・エンタープライズ管理（WBEM）インターフェイスを介して収集されます。

マイクロソフト さらに、StilachiRATはイベントログの消去やサンドボックス環境の検出といった回避戦術を備えており、分析を困難にしていると指摘した。

マルウェアとコマンド・アンド・コントロール（C2）サーバーとの通信は双方向で行われ、マルウェアはリモートで命令を実行できる。

これによってスパイ活動やシステム操作が可能になり、マイクロソフト社は、StilachiRATが10種類のコマンドをサポートしていることを強調し、多用途で危険なツールである可能性を強調している。

マイクロソフト、ユーザーに警戒を呼びかけ

StilachiRATから保護するために、マイクロソフトは、信頼できるソースからのみソフトウェアをダウンロードし、見慣れないウェブサイトや添付ファイルを避けることを推奨している。

また、Microsoft Defenderによるリアルタイムの保護を有効にし、SmartScreenを備えたブラウザを利用して悪意のあるサイトをブロックする必要がある。

さらにマイクロソフトは、脆弱性を減らすために多要素認証（MFA）を導入し、ソフトウェアを定期的に更新することを勧めている。

マイクロソフトはこうアドバイスする：

「リモートアクセス型トロイの木馬（RAT）は、正規のソフトウェアやソフトウェアのアップデートを装う場合があります。ソフトウェアのダウンロードは、必ずソフトウェア開発元の公式サイトや信頼できる情報源から行うようにしましょう。"

このマルウェアはまだ広範囲に配布されてはいない、マイクロソフト は、この脅威の責任主体を特定していない。

同社は、現在の標的を保護するために、ウイルス対策ソフトを導入するなどの緩和策を概説している。

その範囲は限定的であるにもかかわらず、StilachiRATの潜在的なリスクは、暗号通貨コミュニティ内で懸念を引き起こし続けている。

チームはこう書いている：

「そのステルス能力とマルウェアエコシステム内の急速な変化のため、進化する脅威の状況を監視、分析、報告する我々の継続的な取り組みの一環として、これらの調査結果を共有します。