Clipminer

ほぼこもセキュリティニュース By Terilogy Worx

Clipminerは新しい暗号通貨マイニングマルウェアです。
すでに大規模な活動が観測されています。
こんな感じで進みます。

  • 入口は海賊版
    海賊版を入手しようとしている人のところにやって来ます。
    P2Pかもしれませんし、Youtubeかもしれません。
    海賊版に関する情報が掲載されています。
    その情報のなかで海賊版入手につながるとされるファイルが提供されています。
    それを被害者はダウンロードします。
  • ダウンロードしたファイルを実行
    ダウンロードしたファイルはWinARAの自己解凍書庫形式です。
    要はWindows環境で利用できる実行形式のEXEファイルです。
    被害者は海賊版を入手したいので、ダウンロードしたファイルを実行します。
  • DLLが展開され感染を開始
    WinRARの自己解凍書庫は、実行されるとCPLファイルを抽出します。
    CPLファイルはコントロールパネルの要素として通常使用されるファイルです。
    拡張子はEXEやCOMではありませんが、CPLファイルはEXEなどと同様に通常に起動が可能な実行形式です。
    WinRARで展開されたCPLファイルはWinRARから自動的に起動されます。
  • CPLはDLLをダウンロード
    起動されたCPLはDLLをダウンロードします。
    DLLはTorネットワークからClipminerペイロードをダウンロードしてインストールします。
    永続化の仕掛けが施され、多重感染防止機構として使用する感染済みマークをレジストリに作成します。
  • Clipminerの仕事の1つ目:監視
    実行中のプロセスをチェックして、分析ツールを特定します。
    マルウェアの動きを阻害するプログラムがないかを確認します。
    またキーボードとマウスの利用を監視します。
    これによりユーザがコンピュータを操作中であるかどうかを把握します。
  • Clipminerの仕事の2つ目:マイニング
    ユーザがコンピュータを操作中でない場合、コンピュータのすべてのリソースを使用する形式でXMRigMoneroマイナーを起動します。
    こっそり活動するのではなく全力でマイニングします。
  • Clipminerの仕事の3つ目:暗号資産アドレスの付け替え
    クリップボードを監視します。
    クリップボードになんらかの暗号資産アドレスが入ってくるとそれを攻撃者の使用できるアドレスに入れ替えます。
    これによりなんらかの支払い行為がなされようとしたものを自分のものにしてしまいます。

どうすればこの脅威から身を守ることができるでしょうか。
脆弱性を悪用する類の脅威に比較して、対策は比較的容易だと言えそうです。
変なものをダウンロードしない、自分の入力したウォレット番号をよく確認する、これだけで対策できそうです。

しかし実際はこの脅威は大きな活動になっています。
この活動に使われているとみられるウォレット番号は4375個もありますし、ウォレット番号の書き換えで不正に取得した資産価値は170万ドルを超えています。
いかに海賊版などを入手したい人が多いのかということなのかもしれません。
Clipminerはコンピュータの脆弱性を悪用しませんが、人の欲望という脆弱性をついた攻撃なのかもしれません。

参考記事(外部リンク):Clipminer malware gang stole $1.7M by hijacking crypto
payments

www.bleepingcomputer.com/news/security/clipminer-malware-gang-stole-17m-by-hijacking-crypto-payments/