CryptoBanditsマルウェアにより、犯罪者がUSBドライブを使用して暗号資産ウォレットにアクセス可能に – Microsoftが警告

Microsoftの最新の暗号資産マルウェア調査は、トランザクションが失敗する可能性のある複数の箇所のうちの一つである暗号資産ウォレットを、セルフカストディにおける重要な実践的弱点として指摘しています。

侵害されたWindowsマシンは、ユーザーがコピーしたアドレスを変更したり、送金が署名される前にシードフレーズを露出させたり、スクリーンショットやウォレットのコンテキストを攻撃者に送信したりする可能性があります。

6月17日のセキュリティブログレポートで、Microsoftは「CryptoBandits.A」として検出されたCryptoBanditsマルウェアが2026年2月から活動しており、USBストレージデバイス上の悪意のあるWindowsショートカットファイルを通じてシステムに侵入していると述べました。

このマルウェアはウォレットのシークレットを盗み、コピーされたアドレスをすり替え、Torを通じてコマンド＆コントロールインフラと通信します。Microsoftは、約500ミリ秒ごとにクリップボードを監視し、シードフレーズ、秘密鍵、ウォレットアドレスを探すと述べています。

ハードウェアウォレット、アドレスの確認、シードフレーズの管理は依然として必要な管理策です。しかし、ウォレットのワークフローを処理するエンドポイントが侵害されると、攻撃者はユーザーが何か問題に気づく前に、シークレットを確認したり、送金先を変更したり、画面を監視したりする可能性があります。

CryptoSlateは以前にも、ClipBanker形式のアドレス置換やMicrosoft関連のウォレットマルウェアなど、隣接するウォレット窃取のパターンを取り上げてきました。Microsoftのレポートにおける新たな要素は、USB経由の拡散、クリップボード窃取、Torを経由した制御、および挙動検出のための運用ガイダンスの組み合わせです。

CryptoBanditsマルウェアがUSBショートカットを実行ファイルに変える仕組み

Microsoftによると、初期アクセスはUSBストレージデバイスに配布された悪意のある.lnkファイル（ショートカット）を通じて発生します。Microsoftが分析したケースでは、このショートカットがワームコンポーネントを展開します。

その後マルウェアはUSBドライブをスキャンして.doc、.xlsx、.pdfなどの一般的なドキュメントファイルを探し、元のファイルを隠して同じファイル名の新しいショートカットファイルを作成します。

その結果、よくある罠が完成します：ユーザーはリムーバブルメディアからドキュメントを開いていると思っていますが、実際にはワームのペイロードを起動しています。この挙動はMITRE ATT&CKがリムーバブルメディアを通じた複製として説明するより広範なセキュリティパターンに対応しますが、暗号資産に特有の結果はより直接的です。

署名、コピー、またはウォレットの詳細確認に使用されるマシンが攻撃対象領域の一部になります。

悪意のあるショートカットが実行されると、MicrosoftはマルウェアがC:\Users\Public\Documents以下に難読化されたJavaScriptペイロードをドロップし、スケジュールタスクを使って持続性を確保し、新たに挿入されたUSBドライブへの拡散に特化したタスクを維持すると述べています。別のタスクは窃取活動を実行します。

攻撃はしばしば通常のファイル操作から始まります。共有USBドライブ、コピーされたファイル、または古いリムーバブルメディアの習慣が、ウォレットソフトウェアが開かれる前にウォレットを扱うエンドポイントを安全でない状態に置く可能性があります。

これにより、日常的なリムーバブルメディアの使用が、後でウォレットのワークフローに触れるあらゆるデバイスにとってUSBマルウェアリスクに変わります。

ただし、予防策は実践的です。リスクのある瞬間はショートカットの実行とその後の持続化であり、ウォレット操作が始まる前の段階です。

暗号資産を移動させる個人またはチームにとって、リムーバブルメディアを開くデバイスは、後で入金アドレスをコピーしたり、リカバリーワークフローを表示したり、資金移動の送金を準備したりするデバイスと同一である可能性があります。

ウォレット操作において、リムーバブルメディアのポリシーはカストディ運用の一部となります。署名用ワークステーションを汎用コンピューターとして扱うユーザーやデスクは、そのマシンに関連するすべてのドキュメントワークフローのリスクを引き継ぎます。

ウォレット活動に使用するデバイスは、信頼されていないショートカット、スクリプト、ペイロードを実行する方法を減らす必要があります。

攻撃はWindowsのショートカット問題として始まり、その後ウォレット制御の問題になります。エンドポイントが侵害されると、ユーザーがアドレスをコピーし、画面を確認し、トランザクションを準備するという通常の一連の操作が、マルウェアが監視するように設計された素材をそのまま与えてしまいます。

CryptoBanditsマルウェアがクリップボードをトランザクション経路にする仕組み

Microsoftの分析は、資金がセルフカストディされている場合に暗号資産クリッパーがいかに深刻になるかを示しています。コマンド＆コントロールサーバーに登録した後、マルウェアは約0.5秒ごとにクリップボードを確認する継続ループに入ります。

12語または24語のBIP39シードフレーズ、Bitcoin WIFキー、Ethereumキー、および暗号資産アドレスを検索します。

シードフレーズまたは秘密鍵を見つけた場合、Microsoftはマルウェアがそれをローカルに保存し、Tor経由で外部に送信できると述べています。コピーされた暗号資産アドレスを検出した場合、その値を攻撃者が制御するアドレスに置き換えることができます。

いくつかのアドレス形式について、Microsoftはマルウェアが置換を一見類似して見えるようにしてカジュアルな確認をすり抜けようとすると述べています。例えば、一部のBitcoin、Tron、またはMoneroアドレスの先頭文字を合わせたり、一部のBech32形式のBitcoinアドレスの最後の文字だけを変更したりします。

Microsoftは長年にわたり、クリップボードのアドレス置換をウォレット窃取の問題として扱ってきました。2022年のクライウェアとホットウォレットに関するレポートで、同社はクリッピングとスイッチングをトランザクション完了前にウォレットデータを傍受する技術として説明しました。

CryptoBandits.Aのレポートは、そのパターンがリムーバブルメディアを通じた拡散とTorベースのコマンドトラフィックと結びついていることを示しています。

公式のウォレットサポートガイダンスはカストディの観点を明確にしています。メタマスクのドキュメントはシードフレーズと秘密鍵をウォレット制御のシークレットとして扱い、送金を確認する前に受取人アドレスを検証するようユーザーに別途指示しています。

CryptoBandits.Aはそのワークフローの両側を標的にしています：ウォレットを制御するシークレットと、資金を受け取るアドレスです。

ハードウェアウォレットはワークフローにエンドポイントリスクを残す

これはウォレット周辺のデバイスに関する特定のエンドポイント警告です。秘密鍵を隔離した状態に保つことは、多くの一般的なウォレット攻撃に対する最も強力な防御の一つであり続けます。

ハードウェアによる保護がトランザクションのすべてのステップをカバーするという思い込みは危険です。ハードウェアウォレットは署名鍵を保護できますが、侵害されたコンピューターのクリップボードを信頼できるものにすることはできません。ユーザーが感染したマシンで取引所の入金アドレス、支払いアドレス、または資金移動の送金先アドレスをコピーした場合、マルウェアはユーザーが貼り付ける前にその値を変更する可能性があります。

ユーザーがいくつかの見慣れた文字だけを確認する場合、類似して見えるように設計された置換アドレスが急いだ確認をすり抜ける可能性があります。

シードフレーズはより深刻な障害モードをもたらします。侵害されたWindowsマシンに入力またはコピーされたリカバリーフレーズはリモート侵害リスクになります。

MicrosoftはマルウェアがBIP39形式のフレーズを識別し、コマンド＆コントロールサーバーに外部送信できると述べています。このような種類のシークレットが一度露出すると、リスクは単一の送金試行を超えて広がります。

個人にとって、ウォレットの衛生管理はデバイスの衛生管理でもあります。チームが管理する資金については、カストディ手続きがトランザクション承認プロセスの一部としてエンドポイントの挙動を扱う必要があります。

残高の確認、送金の準備、資産のブリッジ、または取引所からの資金移動に使用するマシンは、未知のリムーバブルメディアを開くワークステーションとは異なるリスクプロファイルを持つべきです。

有用な基準は分離です。ウォレット活動を扱うデバイスは、スクリプトの実行、USBドライブからのショートカットを開く、またはクリップボードを通じてリカバリー素材をコピーする理由をできるだけ少なくすべきです。

ワークフローがコピー＆ペーストに依存する場合、署名デバイスや信頼できるディスプレイに表示される送金先は、ブラウザやチャットウィンドウに表示されるアドレスよりも重要です。

ワークステーションが露出の疑いがある場合、対応も変わります。露出には、単一の保留中のトランザクションにおける不正なアドレス以上のものが含まれる可能性があります。

リカバリー素材、秘密鍵、スクリーンショット、および同じマシンでのコマンド実行が含まれる可能性があります。それにより、修復はエンドポイントの隔離、露出したウォレット素材のローテーション、およびそのデバイスで準備されたすべての送金のレビューに向かうことになります。

検出は挙動シグナルに依存する

Microsoftの緩和ガイダンスは挙動に焦点を当てています。同社はリムーバブルメディアのAutoRunとAutoPlayを無効にすること、可能な場合はグループポリシーを通じてリムーバブルドライブからの.lnk実行をブロックすること、wscript.exeやcscript.exeなどのスクリプトホストの不必要な使用を制限すること、難読化されたスクリプトや不審な子プロセスチェーンに対する攻撃対象領域の削減ルールを見直すことを推奨しています。

セキュリティチームにとって、最も強力なシグナルは挙動です。Microsoftは、防御担当者がスクリプトエンジンがcurl、cmd.exe、PowerShell、または予期しない実行ファイルなどのツールを起動するケースを調査すべきと述べています。

また、localhost:9050でのローカルSOCKS5プロキシアクティビティ、クリップボード関連の挙動、および機密性の高い財務ワークフローを扱うデバイスでのPowerShellによるスクリーンキャプチャアクティビティも指摘しています。

これらのシグナルは、クリップボードデータの収集、プロキシベースのコマンド＆コントロール、スケジュールタスクの持続化など、いくつかの標準的なATT&CKテクニックと一致しています。

Microsoft DefenderもCryptoBanditsの検出機能を一覧表示しており、Trojan:Win32/CryptoBandits.Aおよび関連するJavaScript検出、不審なJavaScriptプロセス、curlベースの外部送信、タスクスケジューラアクティビティのEDRカバレッジが含まれます。

Microsoftのレポートは、被害者数、確認された盗難総額、地理的分布、および特定アクターの帰属を開示していません。これにより、金銭的被害の規模に関するいかなる主張も制限されます。

カストディの教訓は観察された挙動に基づいています：ウォレットのワークフローはトランザクションがチェーンに届く前に侵害される可能性があります。

即座の教訓は、暗号資産ユーザーとオペレーターがエンドポイントをウォレットスタックの一部として扱うべきということです。USBの制御、スクリプトの制限、アドレスの確認、およびクリップボードの管理はセルフカストディセキュリティの一部です。

それらはトランザクションがチェーンに届く前に通る経路です。

この記事「CryptoBanditsマルウェアにより犯罪者がUSBドライブを使って暗号資産ウォレットにアクセス可能に – Microsoftが警告」はCryptoSlateに最初に掲載されました。