MistTrackは最近、プリンタドライバ内で見つかったハイジャックエクスプロイトの形で、ユーザーのウォレットから資金を盗む新たな脅威を明らかにしました。最近の投稿で、SlowMistのサイバーセキュリティ部門は、暗号空間に侵入するかなり新しいが検出が難しい脅威についての認識を高めました。悪意のあるバックドアプログラムは、インストールされたプリンタードライバーを介して、ユーザーのクリップボードを乗っ取り、コピーされた暗号ウォレットアドレスを攻撃者のものに置き換えることができます。「このプリンターが提供する公式ドライバにはバックドアプログラムが含まれています。これにより、ユーザーのクリップボードにあるウォレットアドレスがハイジャックされ、攻撃者のアドレスと置き換えられます」とWeb3サイバーセキュリティプラットフォームは書いています。MistTrackのオンチェーンデータによると、攻撃者は数十のオンチェーンアドレスから少なくとも9.3086ビットコイン(BTC)を盗んだ。現在の価格に基づくと、盗まれた資金は約100万ドル、または約989,383ドルに相当する。この暗号ウォレットアドレスは2016年4月22日からアクティブです。最近の活動の前に、最後に検出されたオンチェーン取引は2024年3月14日であり、複数の暗号取引所に関連しています。## エクスプロイトはどのように機能しますか?MistTrackによって強調されたような隠れたマルウェアの悪用のケースは、攻撃者がノートパソコン、コンピュータ、またはモバイルデバイスなどのユーザーのハードウェアにインストールする必要があるプログラムを通じて悪意のあるコードを配布する結果として発生します。この場合、攻撃者は正当なように見えるプリンタドライバを通じてバックドアプログラムを挿入しました。インストールされると、ドライバーはユーザーのクリップボードを監視します。クリップボードは、コピーされたデータが保持される一時的なストレージエリアです。ユーザーが資金を送信するために暗号通貨のウォレットアドレスのように見えるものをコピーすると、マルウェアはそれを攻撃者の暗号通貨ウォレットアドレスに置き換えます。ユーザーがクリップボードから元の暗号ウォレットアドレスだと思って貼り付け、それによってハイジャックされた変更に気づかない場合、資金は意図された受取人ではなく攻撃者のウォレットに送信されます。2025年3月にCyberArkによって強調された類似の脆弱性があり、これはMassJackerと呼ばれるマルウェアに関係していました。このマルウェアは攻撃者がユーザーのクリップボードにアクセスして元の暗号通貨ウォレットアドレスを変更し、暗号通貨取引を攻撃者が制御するウォレットにリダイレクトすることを可能にし、実際に被害者のウォレットから資金を盗むことを可能にしました。プリンタードライバーの脆弱性とは異なり、MassJackerは繰り返しのものではなく、750,000以上のユニークなアドレスを使用しました。このマルウェアは、非公式なウェブサイトからダウンロードされた海賊版およびクラックソフトウェアを通じて、ユーザーのハードウェアに侵入することができました。
プリンターの脆弱性が暗号通貨ウォレットへの新たな脅威を明らかに
MistTrackは最近、プリンタドライバ内で見つかったハイジャックエクスプロイトの形で、ユーザーのウォレットから資金を盗む新たな脅威を明らかにしました。
最近の投稿で、SlowMistのサイバーセキュリティ部門は、暗号空間に侵入するかなり新しいが検出が難しい脅威についての認識を高めました。悪意のあるバックドアプログラムは、インストールされたプリンタードライバーを介して、ユーザーのクリップボードを乗っ取り、コピーされた暗号ウォレットアドレスを攻撃者のものに置き換えることができます。
「このプリンターが提供する公式ドライバにはバックドアプログラムが含まれています。これにより、ユーザーのクリップボードにあるウォレットアドレスがハイジャックされ、攻撃者のアドレスと置き換えられます」とWeb3サイバーセキュリティプラットフォームは書いています。
MistTrackのオンチェーンデータによると、攻撃者は数十のオンチェーンアドレスから少なくとも9.3086ビットコイン(BTC)を盗んだ。現在の価格に基づくと、盗まれた資金は約100万ドル、または約989,383ドルに相当する。
この暗号ウォレットアドレスは2016年4月22日からアクティブです。最近の活動の前に、最後に検出されたオンチェーン取引は2024年3月14日であり、複数の暗号取引所に関連しています。
エクスプロイトはどのように機能しますか?
MistTrackによって強調されたような隠れたマルウェアの悪用のケースは、攻撃者がノートパソコン、コンピュータ、またはモバイルデバイスなどのユーザーのハードウェアにインストールする必要があるプログラムを通じて悪意のあるコードを配布する結果として発生します。この場合、攻撃者は正当なように見えるプリンタドライバを通じてバックドアプログラムを挿入しました。
インストールされると、ドライバーはユーザーのクリップボードを監視します。クリップボードは、コピーされたデータが保持される一時的なストレージエリアです。ユーザーが資金を送信するために暗号通貨のウォレットアドレスのように見えるものをコピーすると、マルウェアはそれを攻撃者の暗号通貨ウォレットアドレスに置き換えます。
ユーザーがクリップボードから元の暗号ウォレットアドレスだと思って貼り付け、それによってハイジャックされた変更に気づかない場合、資金は意図された受取人ではなく攻撃者のウォレットに送信されます。
2025年3月にCyberArkによって強調された類似の脆弱性があり、これはMassJackerと呼ばれるマルウェアに関係していました。このマルウェアは攻撃者がユーザーのクリップボードにアクセスして元の暗号通貨ウォレットアドレスを変更し、暗号通貨取引を攻撃者が制御するウォレットにリダイレクトすることを可能にし、実際に被害者のウォレットから資金を盗むことを可能にしました。
プリンタードライバーの脆弱性とは異なり、MassJackerは繰り返しのものではなく、750,000以上のユニークなアドレスを使用しました。このマルウェアは、非公式なウェブサイトからダウンロードされた海賊版およびクラックソフトウェアを通じて、ユーザーのハードウェアに侵入することができました。