マウントゴックスのCEO、マーク・カルプレス氏のブログをハッキングしたハッカーらが先週インターネット上に公開したマウントゴックスの取引記録を含むアーカイブには、WindowsおよびMac向けのビットコイン窃盗マルウェアも含まれている。
ウイルス対策会社カスペルスキー研究所のセキュリティ研究者は、MtGox2014Leak.zipと呼ばれる620MBのファイルを分析し、マウントゴックス関連のさまざまな文書やデータに加えて、悪意のあるバイナリファイルが含まれていると結論付けました。
このファイルは、サイバー犯罪者に約85万ビットコインを失ったと主張し、2月下旬に日本で破産申請した大手ビットコイン取引所Mt. Goxの取引データベースにアクセスするためのカスタムバックオフィスアプリケーションのWindows版およびMac版を装っている。
しかし、これらは実際にはコンピューターからビットコインウォレットのファイルを検索して盗むために設計されたマルウェアプログラムであると、カスペルスキーのセキュリティ研究者セルゲイ・ロズキン氏は金曜日のブログ投稿で述べた。
ティム・ホーニャック マウントゴックスが破産宣告をする前に同社の日本本社の外に集まった抗議者たち。
Windows と Mac のバイナリは両方とも、クロスプラットフォーム アプリケーションを開発するためのプログラミング言語である LiveCode で書かれています。
実行されると、Mt. Goxのデータベースアクセスツールと思われるグラフィカルインターフェースが表示されます。しかし、バックグラウンドでは、WindowsではTibanneSocket.exeというプロセスを起動し、ユーザーのコンピュータ上のbitcoin.confファイルとwallet.datファイルを検索するとLozhkin氏は言います。「wallet.datファイルはビットコインユーザーにとって非常に重要なデータファイルです。暗号化されていない状態で保管され、盗難に遭った場合、サイバー犯罪者はユーザーがそのアカウントで保有するすべてのビットコインにアクセスできるようになります。」
カスペルスキー社が Trojan.Win32.CoinStealer.i (Windows 版) および Trojan.OSX.Coinstealer.a (Mac 版) と名付けたこのマルウェアは、盗んだビットコイン ウォレットのファイルを、以前はブルガリアにあったが現在はオフラインになっているリモート サーバーにアップロードします。
「この漏洩はすべて、マウントゴックス問題への人々の強い関心を利用し、ビットコイン窃盗マルウェアをコンピューターに感染させるためにでっち上げられたようだ」とロズキン氏は語った。
「マルウェア作成者は、ソーシャルエンジニアリングのトリックや話題の話題を利用してマルウェアを拡散することが多い。これは、特定のターゲット層を狙った攻撃の好例だ」と彼は述べた。
アーカイブをダウンロードし、その中に含まれるバイナリファイルを実行したユーザーは、マルウェア対策プログラムでコンピュータをスキャンし、ビットコインを保護するための措置を直ちに講じるべきです。VirusTotalサービスの月曜日のスキャンレポートによると、47のウイルス対策エンジンのうち27が、このWindowsバイナリファイルを悪意のあるファイルまたは疑わしいファイルとして検出しました。
