概要:巧妙化する仮想通貨窃盗の手口
CloudSEKのSTRIKEチームは、「RedLineCyber」と名乗る脅威アクターによる巧妙な仮想通貨窃盗作戦を明らかにしました。この攻撃者は、有名な「RedLine Solutions」を詐称してアンダーグラウンドコミュニティで信用を確立しています。今回のマルウェアは、包括的なシステムデータを収集するのではなく、Windowsのクリップボードを継続的に監視し、ユーザーが仮想通貨ウォレットアドレスを貼り付けようとした瞬間に、攻撃者によって管理されるアドレスに密かにすり替えるという、非常に標的を絞った手法を採用しています。この外科的な技術により、検出される可能性を最小限に抑えつつ、攻撃の有効性を劇的に高めています。
Discordコミュニティを悪用した配布
脅威アクターは、ゲーミング、ギャンブル、仮想通貨ストリーミングに焦点を当てたDiscordコミュニティ内の信頼関係を悪用しています。2025年12月に行われた広範な人的情報収集により、研究者たちはDiscordコミュニティを悪用し、「Pro.exe」というPythonベースのクリップボードハイジャッキング型トロイの木馬を配布する標的型キャンペーンを特定しました。このマルウェアは、ユーザーが取引を行う際にリアルタイムで仮想通貨アドレスを置き換えるように設計されています。配布は直接的なソーシャルエンジニアリングを通じて行われ、RedLineCyberは潜在的な被害者、特に仮想通貨ストリーマーやインフルエンサーと長期間にわたり関係を構築した後、「クリップボード保護ツール」や「ストリーミングユーティリティ」と偽って悪意のあるペイロードを導入します。情報収集により、仮想通貨ストリーミングプラットフォームやゲーミング配信に特化したサーバーを含む、8つの主要なDiscordコミュニティが積極的に標的とされていたことが判明しました。ストリーミングやギャンブル環境の速いペースは、ユーザーがソーシャルエンジニアリングの被害を受けやすくなる条件を作り出し、仮想通貨取引に特化したコミュニティであることから、クリップボードハイジャッキングが最大の経済的影響をもたらすと判断されたものと見られています。
マルウェア「Pro.exe」の技術的詳細
「Pro.exe」は実用的な設計であるものの、中程度の技術的洗練度を示しています。このマルウェアは、PyInstallerでパッケージ化された実行ファイルとして提供され、難読化されたPython 3.13バイトコードが含まれています。ウォレット検出にはBase64エンコードされた正規表現を使用し、WindowsレジストリのRunキーを通じて基本的な永続性を実装しています。実行されると、マルウェアは%APPDATA%\CryptoClipboardGuard\ディレクトリを作成し、システム再起動後もクリップボードの監視を継続するための自動起動エントリを確立します。監視メカニズムは300ミリ秒のポーリングサイクル(約1秒間に3回のチェック)で動作し、パフォーマンスベースのセキュリティアラートを回避しつつ、ほぼリアルタイムの検出を可能にしています。新しいクリップボード内容が検出されると、Base64エンコードされた正規表現パターンが、以下の6種類の仮想通貨ウォレットアドレスを識別します。
- Bitcoin (BTC):
bc1[a-zA-Z0-9]{39,59}(SegWit形式) - Ethereum (ETH):
0x[a-fA-F0-9]{40}(Hexエンコード形式) - Solana (SOL):
[1-9A-HJ-NP-Za-km-z]{32,44}(Base58エンコーディング検証) - Dogecoin (DOGE):
D[5-9A-HJ-NP-U][1-9A-HJ-NP-Za-km-z]{32}(プレフィックス付きBase58形式) - Litecoin (LTC):
ltc1[a-zA-Z0-9]{39,59}(Bech32形式) - Tron (TRX):
T[A-Za-z1-9]{33}(TプレフィックスBase58形式)
ウォレットアドレスが正常に検出されると、マルウェアはクリップボードを対応する攻撃者管理のアドレスに上書きし、活動ログをactivity.logに保持することで、攻撃者が感染の成功と窃盗の効果を追跡できるようにしています。
検知回避と攻撃者の特定
このマルウェアは、ネットワーク通信やデータ流出を伴わないという限定的な運用に焦点を当てることで、例外的に低い検出プロファイルを維持しています。VirusTotal分析では、69のアンチウイルスベンダーのうち34がサンプルを検知していますが、検出分類は「Trojan.ClipBanker」から「Trojan-Banker.Win32.ClipBanker」まで多岐にわたります。特筆すべきは、マルウェアがコマンド&コントロール(C2)インフラを一切実装していないため、ネットワークベースの検出ベクトルを完全に排除している点です。組み込まれた攻撃者管理ウォレットのブロックチェーン分析により、複数の被害者からの侵害と経済的窃盗が明らかになっており、RedLineCyberは複数のブロックチェーンネットワーク全体で取引を捕捉するために、仮想通貨ごとに別々のウォレットを維持しています。オープンソースインテリジェンスの相関分析により、RedLineCyberが2025年10月にBreachStarsマーケットプレイスで4,200件以上のLinkedIn認証情報を宣伝していたことが特定されており、リアルタイムの仮想通貨窃盗と従来の認証情報収集を組み合わせた多角的な犯罪活動を行っていることが示唆されています。
侵害の痕跡(IOCs)
本攻撃に関連する主な侵害の痕跡は以下の通りです。
- SHA-256 (主要サンプル Pro.exe / peeek.exe):
0d6e83e240e41013a5ab6dfd847c689447755e8b162215866d7390c793694dc6 - SHA-256 (関連するClipBanker亜種):
d011068781cfba0955258505dbe7e5c7d3d0b955e7f7640d2f1019d425278087 - ファイルパス (クリップボードスワップ活動ログ):
%APPDATA%\CryptoClipboardGuard\activity.log - ディレクトリ (マルウェアが作成する永続性ディレクトリ):
%APPDATA%\CryptoClipboardGuard\