ClipBankerはカッコウの卵?

ほぼこもセキュリティニュース By Terilogy Worx

ClipBankerは、情報搾取ツールでありトロイの木馬でもあります。
名は体を表します。
ClipBankerは、クリップボードを監視し、情報を盗みます。
ブラウザーの履歴、Cookie、Outlookデータ、Skype、電報、暗号通貨ウォレットのアカウントアドレスなど、感染した環境からあらゆる種類の機密情報を盗みます。
またそれと同時にClipBankerは、銀行員です。
多くの種類のバンキングアクションに対応することができるように実装されており、その操作を記録したり変更したりします。
入金先のコインウォレットアドレスの文字列がコピーされるとそれを攻撃者が指定したウォレットアドレスに変更させます。
それをそのままペーストして入金先を指定すると、攻撃者の指定したウォレットにお金が流れ込んでくるように誘導することができます。
ウォレットアドレスは長い覚えにくい文字列になっていますし、操作者がコピーペーストしたものを操作者は詳細に確認しないことが多そうであるという人間心理を突いた動きをします。
こんな感じでClipBankerは、PowerShellコマンドを使用して悪意のあるアクティビティを実行します。
古くは2019年から活動が観測されています。

そんなClipBankerがまた新たに観測されています。
今回はマルウェア製作ツールと一緒に配布されています。
こんな感じです。

  • マルウェアを作りたい人がマルウェア製作ツールをダウンロードする
  • ダウンロードしたツールを使い始めたらClipBankerがその環境に常駐する
  • マルウェアを作る過程でマルウェア作成者は仮想通貨の流入先を書き込もうと考える
  • マルウェア作成者のコインウォレットアドレスをコピーする
  • ClipBankerがクリップボードを監視し、コインウォレットアドレスを検出してClipBankerの指定する内容にクリップボードの中身を書き換える
  • マルウェア作成者がマルウェアのコードの中にコインウォレットアドレスを張り付ける
    張り付けられたのはマルウェア作成者のコインウォレットアドレスではありません。
  • マルウェアができあがる
  • マルウェアが配布される
  • マルウェアが悪事を働き仮想通貨を入手する
  • 不正に入手した仮想通貨がコインウォレットアドレスに集まる

仮想通貨が集まってくるコインウォレットアドレスは、マルウェア作成者のものではありません。
一生懸命かどうかは知りませんが、犯罪を犯してまで収集した仮想通貨は別の犯罪者のところに行ってしまいます。
マルウェア作成者のところには仮想通貨は集まりません。

悪いことを考えたものです。

参考記事(外部リンク):マルウェア製作ツールに偽装して拡散している ClipBanker マルウェア
asec.ahnlab.com/jp/32809/