欧州刑事警察機構(ユーロポール)は24日、国際作戦「オペレーション・エンドゲーム」の一環としてインフォスティーラー(情報窃取型マルウェア)のインフラを取り締まり、4,100万ユーロ(約75億円)相当の暗号資産(仮想通貨)を凍結したと発表した。
インフォスティーラーは各種パスワードや仮想通貨ウォレットのデータを盗み出し詐欺やランサムウェア攻撃の温床ともなる。今回、ユーロポールは3種類のマルウェア(SocGholish、Amadey、StealC)の背後にあるインフラを解体した。
作戦には、カナダ、デンマーク、ドイツ、オランダ、英国、米国の法執行機関に加え、マイクロソフトやその他の民間パートナー企業も参加。主な目標は、サイバー犯罪者がランサムウェアの展開、金融詐欺、重要インフラへの攻撃を行うために利用する実行プロセスを寸断することだった。
犯罪に関連する仮想通貨を特定し凍結すると共に、盗まれたログイン認証情報を2,700万件回収。326台のサーバーと142のドメインに対し、停止・無効化などの措置を行った。
こうしたツールを無力化することで、サイバー犯罪者が攻撃を成功させたりマルウェアを拡散させたりすることを困難なものにしている。
また、ユーロポールはレストラン、自動車修理工場、その他のサービス業者を中心とする約1万5,000件の感染ウェブサイトから「SocGholish」を駆除した。
この作戦に協力したマイクロソフトは、5月に2週間調査を行い、その間に世界の14万台以上のコンピュータウイルス感染に「Amadey」や「StealC」が関与していたことを突き止めた。
3種類のマルウェア「SocGholish」、「Amadey」、「StealC」はいずれも仮想通貨ユーザーにとっても脅威となる。
インフォスティーラー「StealC」は2023年からサービスとして販売されており、感染したマシンからパスワード、ブラウザのクッキー、仮想通貨ウォレットのデータを抜き取る。セキュリティ企業プルーフポイントのリサーチャーによると、イーサリアム系ウォレット「メタマスク」のシードフレーズを復号しようとするプラグインも提供していた。
「Amadey」は攻撃の足掛かりを作り、さらなるマルウェアを送り込む役割を担う。
「SocGholish」は、ロシアの犯罪グループと関連があると報告されており、感染したウェブサイトを通じて偽のブラウザ・アップデートを配布することで、第三者がコンピュータ・システムにアクセスすることを可能にするものだ。主にワードプレスで作成されたサイトをターゲットにしている。
これらのマルウェアが連携することで、仮想通貨ウォレットからの資金流出、アカウント乗っ取り、ランサムウェア被害などの攻撃の土台となっていた。
ユーロポールは、マルウェア対策としてワードプレスのユーザーには多要素認証の導入などを推奨。また、ブラウザに表示されるポップアップや、即時対応を強く促すようなアップデートを安易に信用しないよう注意を促した。こうしたアップデートは見た目が正規のものに見せかけられているとも指摘する。
