概要:仮想通貨トレーダーを狙う新たな脅威
Socketの脅威調査チームが、仮想通貨トレーダーを標的とした巧妙なマルウェアキャンペーンを発見しました。このキャンペーンでは、悪意あるChrome拡張機能がMEXC取引所のAPI認証情報を窃取し、不正なアカウント操作を可能にします。
攻撃の詳細:APIキーの窃取と不正利用
この悪意ある拡張機能は、ユーザーの認識なしにMEXC APIキーをプログラムで作成し、出金権限を有効にします。作成された認証情報は、攻撃者が管理するTelegramボットに流出します。
一度インストールされると、感染したブラウザでアクセスされたMEXCアカウントは、完全にプログラムによる乗っ取りの危険にさらされます。これにより、脅威アクターは不正な取引の実行、自動出金、そして仮想通貨ウォレットの資金流出が可能となります。
この攻撃が特に陰湿なのは、悪意あるバックエンド機能を維持しながら、ユーザーインターフェースを操作する能力にあります。「MEXC API Automator」と名付けられたこの拡張機能は、正当な自動取引ツールを装い、高価値なAPIキーと出金権限を密かに収集します。
この拡張機能は、ユーザーがAPIキーに限定的な権限しかないと信じ込ませるため、UI上では出金権限が有効になっていることを隠蔽します。これにより、通常のセキュリティ意識の高いユーザーでも、疑わしい権限要求に気づくことができません。
標的となったMEXC取引所
MEXCは、170以上の国と地域で数百万人のユーザーにサービスを提供する巨大なグローバルプラットフォームであるため、サイバー犯罪者にとって魅力的な標的となります。2,000以上の仮想通貨の取引をサポートし、自動取引と出金のためのAPIを提供しているため、窃取した認証情報を介して直接的な金銭的利益を狙う脅威アクターにとって格好の機会を提供します。
この拡張機能は、パスワードのような従来の認証情報ではなく、出金権限を持つAPIキーの窃取に焦点を当てています。これらのキーは、長期間有効であり、トレーディングボットや自動化フレームワークなど複数のシステムで一般的に使用されるため、より価値の高い標的となります。
攻撃の技術的分析
この拡張機能はManifest V3のChrome拡張機能として動作し、特にMEXCのAPIキー管理ページを標的とします。有効化されると、悪意あるスクリプトはAPIキー作成フォームを特定し、プログラムで利用可能なすべての権限チェックボックスを選択します。そして、出金機能が有効なままになるようにし、CSSスタイリングを操作してユーザーからこの事実を隠します。
攻撃フローには高度な回避技術が用いられています。この拡張機能は二段階認証をバイパスしようとはせず、ユーザーが通常通り2FAを完了することを許可し、MEXCが新しく生成されたアクセスキーとシークレットキーを含む成功モーダルを表示したときに制御を再開します。スクリプトは両方の値を抽出し、ハードコードされたトークンを通じてTelegramボットにHTTPS POSTリクエストで送信します。
脅威アクターの特定と関連インフラ
Socketの分析により、この悪意ある拡張機能が「SwapSushi」ブランドで運営される広範な脅威インフラに接続していることが明らかになりました。開発者ハンドル名「jorjortan142」は、Twitterアカウント(@jorjortan142)やTelegramボットt[.]me/swapsushibotなど、複数のプラットフォームで確認されています。この一貫したブランディングとクロスプラットフォームでのリンクは、MEXC API AutomatorとSwapSushiインフラが同一の脅威アクターに属するという中程度の信頼性を示唆しています。
ユーザーへの注意喚起と対策
本記事公開時点では、MEXC API Automator拡張機能はChromeウェブストアで利用可能な状態です。SocketはGoogleに通知し、削除を要請していますが、ユーザーは直ちに行動を起こし、アカウントを保護する必要があります。具体的には、インストールされている拡張機能を確認し、悪意ある拡張機能がアクティブだった期間に作成されたAPIキーはすべて取り消すことが推奨されます。
セキュリティ研究者たちは、この攻撃手法が他のプラットフォームにも拡大する可能性が高いと評価しています。認証されたブラウザセッション内でAPIワークフローを乗っ取るこの手法は、多くの従来のセキュリティ制御を迂回し、出金権限を持つ長期間有効な認証情報を取得できるため、他の仮想通貨取引所、DeFiダッシュボード、ブローカーポータルなどにも容易に適用され得ます。