法執行機関は、エンドゲーム作戦の一環として、犯罪用暗号通貨4100万ユーロ以上(約4700万ドル)を凍結したと、ユーロポールが水曜日に発表した。この2週間にわたる多国籍作戦は、パスワードや暗号通貨ウォレットのデータを盗んで詐欺やランサムウェア攻撃を可能にする3つのマルウェアファミリー—SocGholish、Amadey、StealC—の背後にあるインフラを解体した。この攻撃は、感染したシステムから認証情報と秘密鍵をスクレイピングして静かに暗号通貨ウォレットを吸い上げるサイバー犯罪アズアサービスプラットフォームを標的にした。
マルウェアファミリーが暗号通貨ウォレットの認証情報を標的に
3つのマルウェアファミリーはすべて、異なる攻撃ベクトルを通じて暗号通貨ユーザーを特に標的にしている。2023年からサービスとして販売されている情報窃取型マルウェアStealCは、感染したマシンからパスワード、ブラウザクッキー、暗号通貨ウォレットデータをスクレイピングする。Proofpointの研究者は、そのコントロールパネルに被害者のMetaMaskウォレットからシードフレーズを復号化しようとするプラグインが含まれていることを発見した。
Amadeyは初期のシステムアクセスを確立し、追加のマルウェアを展開する。ロシアのグループEvil Corpに関連するSocGholishは、侵害されたウェブサイト上の偽のブラウザ更新プロンプトを通じてユーザーに感染する。マルウェアの連鎖は、ウォレットの吸い上げ、アカウントの乗っ取り、ランサムウェアの展開に至る。
情報窃取型マルウェアは、被害者のデバイスからウォレットファイル、秘密鍵、シードフレーズを抽出することで、盗まれた暗号通貨への主要な経路となっている。攻撃ベクトルには、偽のAIツール、Steamの壁紙、海賊版ゲームの改造が含まれる。
警察が326台のサーバーを解体し、2700万件の認証情報を回収
作戦により326台のサーバーと142のドメインが停止された。警察は38万5000以上の侵害されたシステムからほぼ2700万件の盗まれた認証情報を回収し、約1万5000の感染ウェブサイト(多くは中小企業のもの)をクリーンアップした。
作戦のパートナーであるMicrosoftは、5月の最初の2週間だけで、AmadeyとStealCを世界中の14万台以上の感染コンピュータに関連付けた。昨年末の以前のエンドゲーム作戦では、被害者から盗まれたがまだ空になっていない10万以上の暗号通貨ウォレットのログインデータが発見された。
Microsoft、マルウェア運営者に対してRICO訴訟を提起
MicrosoftのDigital Crimes Unitは、2つのマルウェアファミリーを単一の犯罪陰謀として扱う米国の恐喝訴訟を提起した。Copilotを含むAIツールを使用してマルウェアを分析した結果、調査官はAmadeyとStealCが異なる犯罪者によって構築されたものの、共有インフラ上で動作していたことを発見した。
この法的措置により、MicrosoftはRICO法に基づいて両方の作戦にわたる支援者を起訴し、200以上の指令制御サーバーを妨害することができた。同社は1万8000台以上の被害者コンピュータを特定し、攻撃者の制御を断ち切り始めている。
Have I Been Pwnedサービスを通じて被害者警告を送信
ユーロポールとそのパートナーは、Have I Been Pwnedのようなサービスを通じて被害者警告を送信しており、ユーザーは自分の認証情報や暗号通貨ウォレットのキーが犯罪者の手にあるかどうかを確認できる。StealCの運営者は、今月に入ってからも新しいマルウェアビルドを出荷している。
よくある質問
エンドゲーム作戦に関してユーロポールは水曜日に何を発表しましたか?
ユーロポールは、法執行機関が2週間にわたる多国籍作戦中に、犯罪用暗号通貨4100万ユーロ以上(4700万ドル)を凍結し、3つのマルウェアファミリー(SocGholish、Amadey、StealC)の背後にあるインフラを解体したと発表した。
エンドゲーム作戦の摘発で、警察は何台のサーバーと何件の認証情報を回収しましたか?
警察は作戦中に326台のサーバーと142のドメインを停止し、38万5000以上の侵害されたシステムからほぼ2700万件の盗まれた認証情報を回収し、約1万5000の感染ウェブサイトをクリーンアップした。
