イスラエルのサイバーセキュリティ、ソフトウェア企業のCyrenが、PCユーザーのビットコインウォレットのパスワードと資産を盗むタイプのマルウェアの存在を明らかにした。

ブログの投稿の中で、CyrenのディレクターAvi Turiel氏は、ウェブベースのビットコインウォレットプラットフォームの利用者に対し、PDFファイルや他のファイルタイプを利用したメールによるフィッシング詐欺が横行しているとして注意を呼び掛けている。被害はアメリカとシンガポールを主に広がっているようだ。

一般的に、キーロガーはbotによって世界中のPC利用者へとEメールの添付ファイルを通じて送信される。Eメール内のコンテンツはターゲットとなった個人のタイプに合わせて様々な種類があるが、botは基本的に決済の通知、決済内容のアップデート、または確認のEメールなどの金融系の通知メールを標的に送られる。

どうやってPDFを利用しているのか

利用者はこういったEメールの添付ファイルを利用したフィッシング詐欺の魔の手にしばしば陥ることがある。PDFファイルは通常、顧客に対して漏れなく取引の内容を通知するために金融機関や銀行から送られる。決済した取引の内容の多くは、PDFのファイル形式を取って送られることがあり、ユーザーはPDF形式でファイルをダウンロードすることに抵抗がないlことが多い。

マルウェアを送信する悪徳業者は、実際の企業の手紙やEメールのフォーマットを使い利用者がメールの内容から偽物と気づかれないように忠実に内容を模倣して送信する。悪徳業者によって利用されているドメインもまた、実際の企業のドメインの物とそっくりな場合が多い。Blockchain.comを例にとると、Blockchian.comや、Blockchian.infoなど、そっくりなドメインを利用し利用者を騙し、リンクやファイルをクリックさせ、自動的にキーロガーがインストールされるように誘導する。

キーロガーがインストールされる際、一般的なプログラムのようにバックグラウンドで自動的にファイルが実行される。ファイル自体は通常、一時ファイルなどが保管されるAppData\Local\Temp\subfolderに保存されることが多い。

キーロガーがPC内に侵入し、自らを自動的にPC内にインストールしバックグラウンドでのプログラム実行が成功すると、PC内のライトコインやネームコインなどのアルトコインを検索し、プログラムが堪え切れる限界まで盗み出せるだけ暗号通貨系のアプリケーションからパスワードを盗み始める。

キーロガーなど詐欺系のアプリケーションは数多く存在し、ビットコイン系のアプリケーションや金融プラットフォームを標的に狙う。暗号通貨アプリケーションやビットコインウォレットに影響を与えるキーロガーから身を守るためには、利用者は利用可能な全てのサービスプロバイダーが提供するセキュリティ対策を実行しなければならない。2FA (二段階認証)の有効化は必須、PIN認証もビットコイン取引を行うなら必要だろう。また、一般的なアンチウイルスソフトを利用したウイルス検知は、PC内にインストールされている可能性のあるキーロガーを削除するためには最早義務的作業だ。