サイバーセキュリティ企業のMandiantは、暗号通貨ソラナのユーザーを標的にしたサービスとしての暗号通貨ドレイナー(DaaS)である「CLINKSINK」に関するレポートを発表しました。ドレイナーとは、悪意のあるスクリプトまたはスマートコントラクトであり、暗号通貨を抜き取るために使用されます。
MandiantのX(旧ツイッター)アカウントが1月初めにハッキングされ、このドレイナーへのリンクを配信するために使用されました。CLINKSINKを操っているサイバー攻撃者は、ここ数週間で少なくとも90万ドル相当の暗号通貨を詐取しています。
この研究者は、CLINKSINKについて以下のように説明しています。「2023年12月以降、多数のサイバー攻撃者がCLINKSINKドレイナーを悪用して、暗号通貨ソラナを保有しているユーザーから資金やトークンを詐取するキャンペーンを実施しています。サイバー攻撃者は、被害者を騙して取引を承認させた後に、被害者の暗号通貨ウォレットから資金や非代替性トークンなどのデジタル資産を吸い取るためにドレイナーを使用しています。」
サイバー攻撃者は、各種のソーシャルメディアやメッセージングアプリに掲載したフィッシングリンクを介してドレイナーを配信しています。
Mandiantは今回の攻撃について以下のように説明しています。「最近確認されたいくつかのキャンペーンでは、サイバー攻撃者は、XやDiscordなどのソーシャルメディアやチャットアプリケーションを使用して、暗号通貨をテーマにしたフィッシングページを配信し、CLINKSINKドレイナーを使用するようにユーザーを誘っています。
確認されているCLINKSINKのフィッシングドメインやページは、Phantom、DappRadar、BONKなど、正規の暗号通貨の発行主体を装い、偽の暗号通貨のエアドロップ(取引所や通貨を発行する企業が設定した条件をクリアすることで、暗号資産やNFTを無料でもらえるイベント)をテーマにする幅広い誘い文句を利用しています。これらのフィッシングページは、被害者のウォレットに接続して、その後で資産を簡単に詐取するために、悪意のあるJavaScriptのドレイナーコードであるCLINKSINKをロードしています。被害者がこれらのフィッシングページにアクセスすると、暗号通貨のエアドロップを申請するためにウォレットに接続するように要求されます。ウォレットを接続すると、被害者はドレイナーサービスとの取引に署名するよう促されます。この操作に応じると、ドレイナーは被害者から資金を吸い取ることが可能になります。
Mandiantは、「CLINKSINKのソースコードがリークされたことで、新たなサイバー攻撃者が独自のドレイナーサービスを実施したり、他のサイバー攻撃者が利用できるように別のDaaSサービスを設定したりする可能性があると」注意を呼び掛けています。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Stu Sjouwerman著 2024年1月16日発信 https://blog.knowbe4.com/cryptocurrency-stealer-distributed-via-phishing
