新たに発見されたマルウェアは、Windowsシステム上の暗号通貨ウォレットを標的としています。研究者によってElectroRATと名付けられたこのマルウェアは、これまでに数千人を殺害し、今後もさらに増えると予想されています。

エレクトロラート、ウィンドウズ10ユーザーからパスワードを盗み出す

ビットコインの価格がかつてないほど高騰している今、暗号通貨を盗み出すマルウェアの亜種が新たに続々と登場していることは驚くことではありません。

Intezerの研究者は、現在Windows 10ユーザーを標的としている、これまで知られていなかったリモートアクセスツール（RAT）を発見しました。このマルウェアは、macOSおよびLinuxユーザーも標的にしています。Intezerチームは、パスワードを盗むマルウェアをElectroRATと名付け、少なくとも6500人の被害者がいると考えています。

ElectroRATは非常に押し付けがましい。キーログの取得、スクリーンショットの取得、ディスクからのファイルのアップロード、ファイルのダウンロード、被害者の○○○○ホールでのコマンドの実行など、様々な機能を備えています。このマルウェアは、Windows、Linux、MacOSの各タイプで同様の機能を備えています。

研究チームは、この活動が2020年1月から活発になっていると考えており、約12カ月間、検出されずに稼働していたことになります。

ElectroRATは、ソーシャルメディアネットワークや暗号通貨フォーラムに投稿することで、暗号通貨ユーザーを誘い込み、トロイの木馬をダウンロードさせます。このトロイの木馬は、人気のある暗号通貨取引プログラム「Jamm」や「eTrade」と見た目も機能も似ています。また、暗号通貨ポーカーアプリケーション「DaoPoker」のトロイの木馬バージョンも存在します。

関連：マルウェアを理解する：知っておくべき一般的なタイプ

インストールされると、ElectroRATは被害者のシステム内のあらゆる暗号通貨ウォレットの秘密鍵を見つけようとします。暗号通貨ウォレットの秘密鍵が盗まれると、攻撃者は被害者のウォレットを自分のものであるかのようにアクセスできるようになります。

Intezerのブログと分析では、特定の目的をもって一から作られたリモートアクセスツールの珍しさについてもコメントしています。electroRATは、プログラミング言語Golangを使って作られており、マルウェア攻撃の数が増加していることが特徴です。

ゼロから書かれたRATが、暗号通貨ユーザーから個人情報を盗むために使われるのは、非常に珍しいことです。偽のアプリやウェブサイト、関連するフォーラムやソーシャルメディアでのマーケティング・宣伝活動など、さまざまな要素を含む、これほど広範囲で的を絞ったキャンペーンはさらに珍しいと言えます。

暗号通貨を盗むマルウェアが増加中

2020年末から2021年初頭にかけてビットコインの価格が史上最高値を更新し続ける中、暗号通貨の盗難が発生しています。

関連：Google Playで暗号を盗み出すマルウェアを回避する方法

ビットコインの急速な上昇は、2017年（初めて1コイン2万ドルの大台に乗った時）ほどには世間の想像力をかき立てないが、多くの人が投資の一部を暗号通貨の金本位制にシフトしている。

このことを考えると、暗号通貨のウォレットを保護するための特別な対策がこれまで以上に重要になります。マシンを常に最新の状態に保ち、信頼できないソースから変わったアプリケーションをダウンロードしない。そして最も重要なことは、暗号通貨ウォレットの秘密鍵をオフラインに保存しておくことです。