TechFlowより、6月19日、マイクロソフト社の脅威インテリジェンスチームは、2026年2月から活動を開始したWindows向け暗号化クリップボードトロイ型マルウェアに関する脅威情報を公表しました。この悪意あるソフトウェアは、「ワーム型拡散+クリップボードハイジャック+Torを用いた匿名通信」を組み合わせた手法で、デジタル資産ユーザーを標的とした攻撃を実施しています。
マイクロソフトの分析によると、この悪意あるプログラムは偽装されたショートカット(.lnk)ファイルを介して、リムーバブルストレージデバイス間で拡散します。また、WScriptおよびActiveXを活用してスクリプト処理を実行し、ローカルにTorクライアントを自動展開することで、匿名性を確保した遠隔制御およびデータの送信を可能としています。攻撃チェーンには、複数の悪意ある機能が含まれており、具体的には以下の通りです:クリップボード内容の継続的な監視、リカバリー助記詞および秘密鍵の窃取、スクリーンショットの撮影・アップロード、そしてユーザーが暗号資産のアドレスをコピーした際に「アドレス置換」を実行し、本来のアドレスを攻撃者が制御するウォレットアドレスに差し替えることで、資金の不正転送(資金ハイジャック)を図ります。
さらに、このトロイ型マルウェアはワーム型拡散機能も備えており、USBメモリなどのデバイス内に自身を自動的に複製するとともに、タスクスケジューラーによる定期実行タスクを作成することで永続化を達成します。また、基本的な逆解析対策機能(例:タスクマネージャーの検出によるデバッグ回避)も搭載されています。
検出面において、マイクロソフトは本脅威を「Trojan:Win32/CryptoBandits」シリーズとして識別しており、WScriptの異常な呼び出し、localhost:9050へのプロキシ通信トラフィック、PowerShellを用いたスクリーンショット取得行動といった行動的特徴に基づき、検出・ブロックを行っています。セキュリティ研究者は、スクリプト実行パスに対する重点的な防御措置およびローカルプロキシ通信の異常トラフィック監視を推奨しています。
