主要な暗号資産企業になりすましたマルウェアが、世界中で1,000万人以上を標的にしています。

セキュリティ企業Check Pointは、暗号資産関連のデータを盗むために、数百万人の被害者を引き込もうと暗号資産プラットフォームを装うマルウェアJSCEALについて警告しています。その仕組みとは？最近のブログ記事で、Check Point Researchは、Binance、MetaMask、eToro、DEX Screener、Monero、Krakenなど、約50の暗号資産プラットフォームを装い、特に暗号資産関連のデータを標的とする、比較的新しいオンラインの脅威について暗号資産トレーダーに通知しました。マルウェアJSCEALは2024年3月から活動しており、活動は限定的でしたが、より複雑なオペレーションに進化しました。「キャンペーンの最新段階では、脅威アクターは多数のドメインを取得し、最終的なペイロードの展開を回避するなど、検出を回避するための独特な手法を採用しました」とセキュリティ企業は書いています。悪意のあるソフトウェアキャンペーンは、被害者を引き込むために暗号資産企業の広告を作成します。広告をクリックすると、「おとりウェブサイト」に誘導され、取引に使用される実際の暗号資産プラットフォームであると信じて、偽のアプリケーションをインストールするように指示されます。その間、悪意のあるアクターは被害者のシステムに侵入し、暗号資産関連のデータを盗みます。「2025年の前半に、脅威アクターは約35,000件の悪意のある広告を宣伝し、EUだけで数百万回の閲覧につながりました」とCheck Pointはブログ記事に書いています。セキュリティ企業の推定によると、各広告は少なくとも100人のユーザーにリーチできたとのことです。つまり、35,000件の広告で、ハッカーはEUだけで350.00万人のユーザーにリーチできたことになります。一方、同社はEU圏外のユーザーについては考慮していません。世界中のソーシャルメディアのユーザーベースはEUよりもはるかに大きいことを考えると、セキュリティ企業は「グローバルなリーチは容易に1000.00万人を超える可能性がある」と結論付けています。ブログ記事によると、マルウェアキャンペーンの最新バージョンでは、検出を困難にする「独自の回避方法」と呼ばれるものが展開されています。マルウェアをデバイスに直接インストールするように指示する偽のウェブサイトを使用することで、セキュリティ企業は、二重構造の方法が「分析と検出の取り組みを著しく複雑にする」と述べています。JSCEALは、プログラミング言語JavaScriptと、セキュリティ企業が「コンパイルされたコードと高度な難読化の組み合わせ」と見なすものを使用しています。これにより、被害者はコードを実行するためにトリガーする必要がありません。さらに、キャンペーンの主な目的は、感染したデバイスから情報を盗み、メインのハッカーのサーバーに送信することです。同社の分析によると、攻撃者は場所、オートコンプリートパスワード、ネットワークの詳細、メール情報、プロキシ構成など、「広範なマシン情報」を収集します。さらに、攻撃者が被害者を価値があると判断した場合、より多くのデータを盗み、被害者のシステムからマルウェアの痕跡をすべて消去する可能性のある「最終的なペイロード」をダウンロードして実行できる追加のコードを追加します。ただし、ユーザーは引き続きアンチマルウェアソフトウェアを使用して、悪意のある実行を検出し、すでに感染しているデバイスへの継続的な攻撃を阻止できます。[Check Point]