Microsoftの脅威インテリジェンスおよびMicrosoft Defenderの専門家は、6月17日、2026年2月以降に新たなマルウェア亜種がWindows端末に感染し続けていると報告しました。この脅威は、いわゆる「クリッパー」で、現在Microsoft Defender Antivirusによって「Trojan: Win32/CryptoBandits.A」として検知されており、クリップボードの動作を監視してユーザーの暗号資産を吸い上げるように設計されています。このマルウェアは、約500ミリ秒ごとにクリップボードを監視し、ユーザーが取引の詳細をコピー&ペーストする際に、暗号資産ウォレットのアドレスを攻撃者が管理するアドレスに静かに置き換えます。このクリップボードを悪用する攻撃手法は、暗号資産の取引中にウォレットアドレスをコピーするという一般的な慣行を悪用し、被害者が気付かないまま攻撃者が資金を振り向けられるようにします。
Microsoftがマルウェアの配布方法を特定
Microsoftの報告によると、このキャンペーンは、USBストレージドライブ上で配布された不正なショートカット(.lnk)ファイルから始まります。マルウェアには2つのコンポーネントが含まれています。自己増殖するワーム成分と、ウォレットデータを収集するスティーラーです。ワームはUSBデバイス上の正規文書を隠し、それらを偽装されたショートカットに置き換えます。そのため、ユーザーが見慣れたファイルを開くと、実際には認識されないままマルウェアが起動されます。
このマルウェアは、暗号資産ウォレットのロックを解除する資格情報であるシードフレーズやプライベートキーも探し当てます。永続化を維持するため、隠されたウィンドウで動作し、スケジュールタスクを設定し、自身のファイルをDefenderのスキャンから除外します。タスクマネージャーが開いているかどうかを確認し、開いている場合はシャットダウンします。これは、端末を調査する相手を避けるためのアンチ解析手法です。
CryptoBanditsはTorベースのインフラを使用
Microsoftは、CryptoBanditsがポータブルなTorクライアントを展開し、ローカルプロキシを通して通信を行い、隠されたコマンド&コントロールサーバーに到達させると述べています。この設計により、データ窃取とリモートコード実行を組み合わせられ、金をせしめるスティーラーを、さらに攻撃者の指令を実行できる軽量なバックドアへと変えます。Torベースのインフラは、従来のインストーラーや露出したサーバーに頼らずに、マルウェアがステルス性の高い通信チャネルを維持することを可能にします。
FAQ
Microsoftが発見したCryptoBanditsマルウェアとは何ですか?
CryptoBanditsは、Microsoft Defender Antivirusによって「Trojan: Win32/CryptoBandits.A」としてフラグ付けされているマルウェアの亜種で、約500ミリ秒ごとにクリップボードの動作を監視し、暗号資産ウォレットのアドレスを攻撃者が管理するアドレスに置き換えます。Microsoft Threat IntelligenceおよびMicrosoft Defenderの専門家は、これが2026年2月以降にWindows端末へ感染し続けていると、6月17日に報告しています。
CryptoBanditsマルウェアはどのようにして端末へ拡散しますか?
Microsoftの報告によると、マルウェアはUSBストレージドライブ上で配布された不正なショートカット(.lnk)ファイルを介して拡散します。ワーム成分はUSBデバイス上の正規文書を隠し、ユーザーが見慣れたファイルに見えるものを開くとマルウェアを起動する、偽装されたショートカットに置き換えます。
CryptoBanditsはどのようなインフラを使って通信しますか?
Microsoftは、CryptoBanditsがポータブルなTorクライアントを展開し、ローカルプロキシを通して通信を行い、隠されたコマンド&コントロールサーバーに到達させると述べています。このTorベースのインフラにより、マルウェアはステルス性の高い通信チャネルを維持し、リモートコマンドを実行できます。
