暗号通貨ウォレットを狙う複数のインビジブルModStealerブラウザ攻撃

新たに確認されたマルウェア「ModStealer」は、高度な難読化技術を駆使して署名ベースのアンチウイルス防御を回避するブラウザベースの暗号通貨ウォレットに対する重大な脅威として浮上しています。Mosyleのセキュリティ研究者は、ModStealerがWindows、Linux、macOSを含む主要なオペレーティングシステム上のウォレット拡張機能を積極的に狙いながら、ほぼ1か月間検出されていなかったと報告しています。

ModStealerの主な拡散手段は、開発者を悪意のあるペイロードのダウンロードに誘導する求人広告です。実行されると、マルウェアは従来のアンチウイルスエンジンを回避する難読化されたNodeJSスクリプトを利用し、認識可能なコードパターンを隠蔽します。実行は、メモリ上でコアの情報抽出モジュールを再構築する動的展開ルーチンから始まり、ディスク上の痕跡と鑑識指標を最小限に抑えます。

コードには、Bitcoin、Ethereum、Solanaなど主要なブロックチェーンをサポートする人気のウォレットを含む56種類のブラウザウォレット拡張機能から認証情報を検索・抽出する事前設定された命令が含まれています。秘密鍵、認証データベース、デジタル証明書はローカルのステージングディレクトリにコピーされ、暗号化されたHTTPSチャネルを介して指令・制御サーバーへ送信されます。クリップボードの乗っ取り機能により、ウォレットアドレスの傍受が可能となり、資産の転送がリアルタイムで攻撃者管理のアドレスにリダイレクトされます。

認証情報の窃盗に加え、ModStealerはシステム偵察、スクリーンキャプチャ、リモートコード実行のオプションモジュールをサポートします。macOSではLaunchAgentsメカニズムを利用して永続化が図られ、WindowsとLinuxのバリアントはそれぞれスケジュールタスクとcronジョブを使用します。モジュール式のアーキテクチャにより、関係者はターゲット環境と目的のペイロード機能に応じて機能を調整できます。

Mosyleの分析者はModStealerをマルウェア・アズ・ア・サービス（MaaS）と分類しており、関係者は構築および展開インフラへのアクセスに対して料金を支払うことで、技術力の低い脅威アクターの参入障壁を下げています。2024年と比較して28％増加したインフォスティーラーの急増は、暗号通貨エコシステムにおける高価値ターゲットに対しコモディティ化されたマルウェアが使用される傾向の高まりを示しています。

セキュリティチームが推奨する緩和策には、悪意のある広告ネットワークをブロックするための厳格なメールおよびウェブフィルタリングポリシーの実施、振る舞いベースの脅威検出ソリューションの展開、不正なNodeJSスクリプトの自動実行の無効化が含まれます。ブラウザウォレットのユーザーは、拡張機能の整合性を確認し、オフラインで保存されたシードフレーズのバックアップを最新に保ち、大量保有の場合はハードウェアウォレットの使用を検討すべきです。

不審な外向き接続のトラフィックパターンを継続的に監視することで、データの抽出試行の早期発見に役立ちます。ウォレット開発者、ブラウザベンダー、セキュリティ企業の連携が不可欠であり、ModStealerの難読化層を遮断し、さらなるウォレット侵害を防止できる署名および振る舞いベースの検知機能の開発が求められます。