Microsoftが新型暗号資産トロイの木馬を公開：Torによる匿名拡散とウォレットアドレス乗っ取りの脅威

Odaily 星球日报 マイクロソフト社の脅威インテリジェンスチームは、2026年2月から活動しているWindows向け暗号資産トロイの木馬の脅威を公式に公開しました。このマルウェアは、「ワーム型拡散＋クリップボード乗っ取り＋Tor匿名通信」を組み合わせ、デジタル資産ユーザーを標的に攻撃を仕掛けます。

マイクロソフトの分析によると、この悪意のあるプログラムは偽装されたショートカット（.lnk）ファイルを介してリムーバブルストレージデバイス間で拡散し、WScriptとActiveXを利用してスクリプトロジックを実行します。自動的にローカルのTorクライアントを展開し、127.0.0.1:9050プロキシを介して.onion隠しサービスのC2サーバーに接続し、匿名での制御とデータの送信を実現します。攻撃チェーンには、クリップボードの継続的な監視、シードフレーズと秘密鍵の窃取、スクリーンショットのアップロードなど、複数の悪質な機能が含まれます。特に、ユーザーが暗号資産のアドレスをコピーする際に「アドレス置換」を行い、攻撃者が管理するウォレットアドレスにすり替えることで資金を乗っ取ります。

さらに、このトロイの木馬はワーム型の拡散能力も備えており、USBメモリなどのデバイスに自動的に自身をコピーし、タスクスケジューラを作成して永続的に動作させます。また、タスクマネージャーを検出してデバッグを回避するなど、基本的な対解析能力も有しています。

検出レベルでは、マイクロソフトはこれをTrojan:Win32/CryptoBanditsシリーズとして識別しており、WScriptの異常な呼び出し、localhost:9050プロキシトラフィック、PowerShellによるスクリーンショット動作などの行動特性に基づいてブロックしています。セキュリティ研究者は、スクリプト実行パスとローカルプロキシの異常トラフィック監視を重点的に保護することを推奨しています。