TDSでCryptoClippy

CryptoClippyは暗号資産を狙うマルウェアです。

CryptoClippyは感染した状態になったパソコンでクリップボードに入ってくる内容を常に監視し、暗号資産のウォレットアドレスがクリップボードに入ってくるのを待ち構えます。
その文字列がなにものであるのかを正規表現で判定します。
入ってきた文字列が狙っているウォレットアドレスであることがわかると、複数用意した攻撃者のウォレットアドレスのなかから被害者のアドレスに似たものを選択し、それに置き換えます。
ウォレットアドレスは長い文字列であるため、似た文字列に置き換えられてしまってもアドレスが変化してしまったことに気が付くことは簡単ではありません。
こうしてどこかからどこかに送金される予定だった暗号資産は攻撃者のウォレットに送金されてしまいます。

こんな動きをするCryptoClippyですが、現時点では検出率が高くありません。
それはどうやら初期感染動作にポイントがあるようなのです。
初期感染動作の部分で登場するのが、トラフィックディレクションシステム（以降TDSと表記）です。
TDSはどういった動きをするのでしょう。

• 攻撃者はランディングページを用意する
  Web検索結果からたどり着くためのランディングページを準備します。
  このランディングページのコンテンツに訪問者の判定を行う機能が搭載されています。
  この機能がTDSです。
• VPNチェック
  訪問者がVPN経由で訪問しているかをチェックします。
  VPN経由の場合、訪問者がどこの国からきているかなどの判定が容易ではなくなるため、このチェックが行われます。
  国の判定がうまくできていないと、被害者に見せるコンテンツの言語の選択がうまくいかなくなるという事情があるのかもしれません。
• ユーザーエージェントチェック
  HTTPヘッダーのUser-AgentやAccept-Languageなどの値をチェックします。
  これにより、訪問者が人間であると考えられるのか、優先言語はポルトガル語なのか、使っているOSはWindowsなのか、などが判定されます。
• コンテンツの調整
  判定の結果、訪問者が狙った範囲の属性を持っていることが確認できなかった場合、TDSは無害なサイトに誘導します。
  逆に訪問者が狙った範囲の属性を持っていることが確認できた場合、TDSはCryptoClippyを設置することにつながるzipファイルをダウンロードさせるサイトに誘導します。
  訪問者がこれをダウンロードして中身を使用すると、CryptoClippyに感染します。
  訪問者が被害者になるというわけです。

TDSできっちり判定することで、セキュリティ製品による検査行為から逃れることが狙われています。

CryptoClippyは現時点でポルトガル語を話す人がターゲットとなっているもので、その配布にこのTDSが使用されています。
しかしこのTDSを使って配布対象を制限するという作戦は他の攻撃にも容易に転用できるものに思えます。
注意が必要な作戦が増えてしまったというところです。

参考記事（外部リンク）：CryptoClippy Speaks Portuguese
unit42.paloaltonetworks.com/crypto-clipper-targets-portuguese-speakers/