2018.05.09 (Wed) news

仮想通貨狙った攻撃が高度化、Chrome拡張、Facebook Messenger経由で攻撃 トレンドマイクロが報告

トレンドマイクロは7日、仮想通貨トレーダーの資産を奪うChrome拡張「FacexWorm」(フェイスエクスワーム)の手口を公開した。Facebook Messenger経由で拡散され、特定のGoogle拡張機能をインストールすると、ユーザーの認証情報等を奪い、仮想通貨を不正に引き出すなどの被害に遭う恐れがある。

現在、Facexwormが含まれるChrome拡張機能は公式ストアから殆ど削除されているとトレンドマイクロは報告した。

同社によれば、FacexWormは2017年8月より確認されていたが、その目的や攻撃手法は不明だったとしている。しかしながら2018年4月8日に活動が急拡大した。

その結果、目的が仮想通貨取引所のログイン情報を奪うか、不正にコンピュータリソースを奪い、マイニングさせる目的であることが判明した。具体的な手法を以下に引用する。実被害は現在のところ、限定的であったことも確認されている。

  • 検索サービス「Google」、ウォレットサービス「MyMonero」、仮想通貨発掘ツール「Coinhive」のアカウント認証情報を窃取
  • 仮想通貨詐欺ページにリダイレクト
  • Web ブラウザを利用した不正な仮想通貨発掘活動
  • 仮想通貨取引処理の乗っ取り
  • 仮想通貨関連の「Referral Program(紹介プログラム)」への誘導

また、トレンドマイクロが報告した攻撃手法以外にも、「ドテンくる」「BitMEX XBT リアルタイム価格ティッカー」と呼ばれる国内の仮想通貨トレーダーを狙ったChrome拡張機能の存在も最近確認された。作成者はkaerucryptoという名でTwitterアカウントを開設していたと見られるが、現在はアカウントを削除している。

「ドテンくる」は、仮想通貨取引所(bitFlyerとBitMEX)の「預け入れアドレス」を、取引所が発行したものから、攻撃者が指定したアドレスに画面上で書き換えるというもの。被害者は書き換えられたアドレスに気づかないまま仮想通貨を送信してしまうと、取引所のアカウントには当然反映されず、攻撃者にお金を送ってしまうこととなる。

「ドテンくる」が指定するアドレスは複数確認され、少なくとも4.5BTC超の被害があった。

先月4月には、MyEtherWalletと呼ばれるウェブウォレットサイトがDNSハイジャックを受け、同一ドメインにアクセスしたにも関わらずフィッシングサイトに誘導されるという攻撃が確認された。被害者はブレインウォレットと呼ばれる、パスワードを入力すると秘密鍵が生成されるプロトコルを使用したところ、攻撃者がパスワードを不正に窃取し、そのユーザーの仮想通貨を奪っている。

仮想通貨を狙う攻撃はますます高度化している。ユーザーは被害に遭わないためにも、一定の自衛手段とリテラシーを身に着けておくべきだ。


TrendMicro


無料メールマガジン

BTCNの最新ニュースを毎日お昼ごろお届けします!