新たなマルウェアがGoogle Chromeを通じて暗号通貨ウォレットを空にする

新しいマルウェアが仮想通貨ユーザーをターゲットにし、ウォレット資格情報と金融データを盗む

StilachiRATと呼ばれる新たに発見されたリモートアクセス型トロイの木馬（RAT）は、デジタルウォレットの資格情報を盗み、機密データを外部に送信することで、特に仮想通貨ユーザーを標的にしています。マイクロソフトのインシデントレスポンス研究者は、2025年3月17日に発表された報告書で、このマルウェアの機能を詳述し、仮想通貨ウォレット拡張機能と保存されたログイン資格情報を保存するGoogle Chromeユーザーを侵害することに焦点を当てていると強調しています。

マイクロソフトによると:

StilachiRATは、Google Chromeブラウザ用の特定の仮想通貨ウォレット拡張機能のリストをターゲットにしています。

このマルウェアは、Bitget Wallet（旧Bitkeep）、Trust Wallet、Tronlink、Metamask（イーサリアム）、Tokenpocket、BNB Chain Wallet、OKX Wallet、Sui Wallet、Braavos – Starknet Wallet、Coinbase Wallet、Leap Cosmos Wallet、Manta Wallet、Keplr、Phantom、Compass Wallet for Sei、Math Wallet、Fractal Wallet、Station Wallet、Confluxportal、およびPlugを含む20の異なるウォレット拡張機能をスキャンし、攻撃者がデジタル資産情報を抽出できるようにします。

仮想通貨ウォレットを標的にするだけでなく、StilachiRATはGoogle Chromeの暗号化機構をバイパスして保存されたログイン資格情報も盗みます。報告書は説明しています：「StilachiRATは、ユーザーのディレクトリ内のローカルステートファイルからGoogle Chromeのencryption_keyを抽出します。しかし、Chromeが最初にインストールされたときに鍵は暗号化されているため、現在のユーザーのコンテキストに依存するWindows APIを使用してマスターキーを復号化します。これにより、パスワードボルトに保存された資格情報へのアクセスが可能になります。」

これにより、攻撃者は金融口座に関連付けられたユーザーネームとパスワードを取得でき、被害者のデジタル資産へのリスクをさらに高めます。また、StilachiRATはコマンドアンドコントロール（C2）接続を確立し、リモートオペレーターがコマンドを実行し、システムプロセスを操作し、初期検出後も持続可能な状態を維持します。

さらに、このマルウェアはクリップボードデータを継続的に監視して仮想通貨のキーや機密金融情報を抽出します。マイクロソフトの報告書は指摘しています：

クリップボードの監視は連続的であり、パスワードや仮想通貨キー、そして潜在的な個人識別情報などの機密情報を対象とした検索が行われます。

仮想通貨アドレスに関連する特定のパターンをスキャンすることで、StilachiRATはコピーされたウォレットアドレスを傍受および置換し、攻撃者が管理する宛先に取引をリダイレクトできます。リスクを軽減するために、マイクロソフトはユーザーにMicrosoft Defenderの保護機能を有効にし、安全なブラウザを使用し、未確認のダウンロードを避けることを推奨しています。脅威の状況が進化する中で、サイバーセキュリティ専門家は仮想通貨保有者に対し、デジタル資産を悪用するために設計された新たなマルウェアに対して警戒を怠らないように呼びかけています。