マイクロソフトのセキュリティ研究チームは17日、仮想通貨ウォレットを標的にしたマルウェアを確認したと発表した。クリップボードに一時保存された送金先のウォレットアドレスを攻撃者のアドレスに書き換え、送金を横取りするタイプで、2026年2月以降に感染が確認されている。
このマルウェアはクリッパーと呼ばれる種類に分類される。仮想通貨を送金する際、ユーザーが宛先アドレスをコピー&ペーストする操作を悪用する。
マルウェアはクリップボードの中身を約500ミリ秒ごとに監視し、ビットコインやイーサリアム、トロンなどのアドレスが検出された瞬間に攻撃者が用意したアドレスへと書き換える。送金前に宛先を目視で確認しなければ、資産が攻撃者のウォレットに届いてしまう。
書き換え対象はビットコインのレガシーアドレス(「1」始まり)、P2SHアドレス(「3」始まり)、タップルートアドレス(「bc1p」始まり)、Bech32アドレス(「bc1q」始まり)、トロンのアドレス(「T」始まり)、モネロのアドレス(「4」または「8」始まり)と幅広い。
クリップボードの監視はアドレスの書き換えにとどまらない。BIP39規格の12語・24語のシードフレーズや、イーサリアムおよびビットコインWIF形式の秘密鍵がクリップボード上に存在した場合、それらを外部のサーバーに送信する。シードフレーズや秘密鍵が流出すれば、ウォレット内の資産が奪われる可能性がある。
窃取したデータの送信には、匿名通信ネットワークのTor(トーア)が使われる。感染した端末の内部でTorのプロキシサーバーを起動し、攻撃者のサーバーとの通信をすべてTor経由で行う仕組みで、通信先の特定を困難にしている。攻撃者のサーバーからは任意のコードを送り込んで端末上で実行させることも可能で、資産の窃取だけでなく遠隔操作のバックドアとしても機能する。
マイクロソフトによると、感染経路はUSBメモリだ。マルウェアはUSBメモリ内の文書ファイル(.doc・.xlsx・pdf等)を本物に見せかけたショートカットファイル(.lnk)に置き換え、ユーザーがファイルを開く操作で自動実行される。新しいUSBメモリが接続されるたびに同様の仕掛けを施すワーム機能も持ち、感染が広がる。
マイクロソフトは、送金操作の際は必ずペースト後の宛先アドレスを全桁目視で照合するよう呼びかけた。
クリッパーマルウェアの大半は先頭数文字・末尾数文字だけを元のアドレスと合わせた偽アドレスを使うため、中間部分の確認が特に重要だという。
端末側の対策としては、USBメモリの自動実行(オートラン)を無効化すること、USBメモリからの.lnkファイルの起動をグループポリシーでブロックすること、Windows Script Host(wscript.exe・cscript.exe)の不要な実行を制限することを推奨している。マイクロソフト・ディフェンダーはこのマルウェアを「Trojan:Win32/CryptoBandits.A」として検出するとしている。
