暗号マルウェアの新たな波がデジタル資産の世界を席巻しており、今回はそのアクターがこれまで以上に賢く、より多才になっています。新しい波の最前線にいるのは、ロシアに焦点を当てた高度な持続的脅威(APT)グループであるLibrarian Ghoulsと、Androidバンキング型トロイの木馬にルーツを持つクロスプラットフォームのスティーラーであるCrocodilusです。
“リブラリアン・グールの最新のキャンペーンは、AnyDeskのような正当なソフトウェアを使用して、暗号マイナーやキーロガーを隠します。侵入すると、彼らは静かになり—真夜中まで。” — カスペルスキー脅威インテリジェンス (年6月9日 )
“リブラリアン・グールの最新のキャンペーンは、AnyDeskのような正当なソフトウェアを使用して、暗号マイナーやキーロガーを隠します。侵入すると、彼らは静かになり—真夜中まで。”
— カスペルスキー脅威インテリジェンス (年6月9日 )
このAPTグループは攻撃を定期的な文書(、例えば、フィッシングメールの支払い指示)として偽装します。開くと、彼らのマルウェアは:
2025年新機能: ミッドナイトアクティベーション — マルウェアは検出を避けるために夜間のみ実行されます。
彼らの攻撃は単なる brute-force 強盗ではなく、技術的な専門知識と心理的な強制を組み合わせて、暗号サイクルのすべての段階で攻撃を仕掛けます。
また、Librarian Ghoulsは、正規のビジネスアプリケーションになりすますためにローダーを最適化し、支払い注文や請求書などの無害なドキュメントにマルウェアを埋め込むことがよくあります。被害者がファイルを実行すると、マルウェアのインストーラーは、その痕跡を隠すための4t Tray Minimizerやリモートコントロール用のAnyDeskなどのプログラムを静かにインストールします。
しかし、このグループで最もユニークなのは、マルウェアが夜間にのみアクティブ化されるため、勤務時間中にセキュリティチームが検出する可能性が低くなるという、時間ベースのトリガーを使用していることです。これは、ウォレットの資格情報を盗み、XMRigを使用してMoneroをマイニングし、検出されずに機密データを盗み出すことを可能にする夜間戦略を使用して行われます。
被害者は、通常数週間後に彼らのウォレットが枯渇し、システムが簡単な復元を超えて侵害されていることに気づくまで、何かがおかしいことに気づかないかもしれません。
元々はトルコの銀行トロイの木馬であるCrocodilusは、現在、次の方法で世界中の暗号ユーザーを標的としています。
“Crocodilusの新しいパーサーは、シードフレーズを外科的精度で抽出します。偽のXリンクを1クリックすると、あなたのウォレットは消えます。” — ThreatFabric MTI チーム (June 3、2025)
“Crocodilusの新しいパーサーは、シードフレーズを外科的精度で抽出します。偽のXリンクを1クリックすると、あなたのウォレットは消えます。”
— ThreatFabric MTI チーム (June 3、2025)
一方、ワニは、地域的な脅威から世界的な脅威へと急速に進化しました。もはやAndroidに限らず、悪意のあるブラウザ拡張機能、クローンデスクトップアプリ、さらにはTelegramボットを標的にして、その範囲を広げています。このマルウェアの最も致命的な機能は、クリップボードのデータ、スクリーンショット、自動入力データからシードフレーズを盗む能力であり、被害者が標的にされていることに気付く前に盗まれることもあります。
脅威アクターは、ダークネットフォーラムで侵害されたウォレットへのアクセスを販売し始め、盗まれた暗号通貨資産のための繁栄するブラックマーケットを確立しました。これは規模と複雑さが増しています。時には、Crocodilusが無実の「サポート」番号を被害者の電話にスパム送信し、ユーザーを技術サポートの名目で機密情報を提供させるように騙します。
ハッカーはX (Twitter)を利用しています:
実例: 2025年5月、ディープフェイクの「イーロン・マスク」によるライブ配信が視聴者に「テスラコイン」のプレゼント用QRコードをスキャンするよう促しました。被害者は30分で20万ドル以上を失いました。
最も脅威的なトレンドの一つは、リアルタイムのディープフェイクサポートチャットの開発です。ハッカーはAIを使用したアバターを使って、X (Twitter)上で認知されたブランドやインフルエンサーになりすまし、真実味のあるインタラクティブな「ヘルプ」を提供し、被害者を誘惑してシードフレーズやプライベートキーを共有させます。
ディープフェイクは非常に信じられないほどリアルで、経験豊富な暗号ユーザーでさえもそれに引っかかっています。アバターはコミュニティの認識された人物の声やトーン、さらにはボディランゲージまで真似ています。
最も注目すべきケースの一つとして、Xでのディープフェイクの"イーロン・マスク"のライブストリームが偽のテスラコインのギブアウェイを宣伝し、数分以内に数十万ドルの損失を出しました。
Quillauditsの2025年ガイドから:
| アクション | なぜ重要か | | --- | --- | | 専用デバイスを使用する | 暗号活動を日常のブラウジングから隔離する | | 承認を取り消す | マルウェアは、ロックしたウォレットを排出することはできません | | 公共のWi-Fiを避ける | Crocodilusは安全でないネットワークで繁栄します | | オフラインでXリンクを確認 | ディープフェイク詐欺はクロスチェックすると消える |
このような脅威から保護するために、ユーザーは多層のOPSECアプローチを利用する必要があります。専門家は、高額な投資にはハードウェアウォレットを使用すること、2要素認証を有効にすること、シードフレーズを決して共有しないこと、たとえサポート担当者や正規のソーシャルアカウントであっても共有しないことを推奨しています。
定期的なウォレット承認チェック、ソフトウェアの最新状態の維持、暗号操作を単一使用デバイスに分離することも同様にリスクを減らすことができます。攻撃者がますます革新的で創造的になるにつれて、最善の防御は十分に教育を受け、適切に懐疑的でいることです。
10k 人気度
44k 人気度
18k 人気度
29612k 人気度
10716k 人気度
11184k 人気度
11560k 人気度
9060k 人気度
13109k 人気度
眠っている間、あなたの暗号資産は安全だと信頼できますか?
暗号マルウェアの新たな波がデジタル資産の世界を席巻しており、今回はそのアクターがこれまで以上に賢く、より多才になっています。新しい波の最前線にいるのは、ロシアに焦点を当てた高度な持続的脅威(APT)グループであるLibrarian Ghoulsと、Androidバンキング型トロイの木馬にルーツを持つクロスプラットフォームのスティーラーであるCrocodilusです。
リブラリアン・グール: 「正当な」マルウェア
このAPTグループは攻撃を定期的な文書(、例えば、フィッシングメールの支払い指示)として偽装します。開くと、彼らのマルウェアは:
2025年新機能: ミッドナイトアクティベーション — マルウェアは検出を避けるために夜間のみ実行されます。
彼らの攻撃は単なる brute-force 強盗ではなく、技術的な専門知識と心理的な強制を組み合わせて、暗号サイクルのすべての段階で攻撃を仕掛けます。
また、Librarian Ghoulsは、正規のビジネスアプリケーションになりすますためにローダーを最適化し、支払い注文や請求書などの無害なドキュメントにマルウェアを埋め込むことがよくあります。被害者がファイルを実行すると、マルウェアのインストーラーは、その痕跡を隠すための4t Tray Minimizerやリモートコントロール用のAnyDeskなどのプログラムを静かにインストールします。
しかし、このグループで最もユニークなのは、マルウェアが夜間にのみアクティブ化されるため、勤務時間中にセキュリティチームが検出する可能性が低くなるという、時間ベースのトリガーを使用していることです。これは、ウォレットの資格情報を盗み、XMRigを使用してMoneroをマイニングし、検出されずに機密データを盗み出すことを可能にする夜間戦略を使用して行われます。
被害者は、通常数週間後に彼らのウォレットが枯渇し、システムが簡単な復元を超えて侵害されていることに気づくまで、何かがおかしいことに気づかないかもしれません。
クロコディルス:シードフレーズコレクター
元々はトルコの銀行トロイの木馬であるCrocodilusは、現在、次の方法で世界中の暗号ユーザーを標的としています。
一方、ワニは、地域的な脅威から世界的な脅威へと急速に進化しました。もはやAndroidに限らず、悪意のあるブラウザ拡張機能、クローンデスクトップアプリ、さらにはTelegramボットを標的にして、その範囲を広げています。このマルウェアの最も致命的な機能は、クリップボードのデータ、スクリーンショット、自動入力データからシードフレーズを盗む能力であり、被害者が標的にされていることに気付く前に盗まれることもあります。
脅威アクターは、ダークネットフォーラムで侵害されたウォレットへのアクセスを販売し始め、盗まれた暗号通貨資産のための繁栄するブラックマーケットを確立しました。これは規模と複雑さが増しています。時には、Crocodilusが無実の「サポート」番号を被害者の電話にスパム送信し、ユーザーを技術サポートの名目で機密情報を提供させるように騙します。
フェイク X リンク: 今すぐリアルタイムディープフェイクで
ハッカーはX (Twitter)を利用しています:
実例: 2025年5月、ディープフェイクの「イーロン・マスク」によるライブ配信が視聴者に「テスラコイン」のプレゼント用QRコードをスキャンするよう促しました。被害者は30分で20万ドル以上を失いました。
最も脅威的なトレンドの一つは、リアルタイムのディープフェイクサポートチャットの開発です。ハッカーはAIを使用したアバターを使って、X (Twitter)上で認知されたブランドやインフルエンサーになりすまし、真実味のあるインタラクティブな「ヘルプ」を提供し、被害者を誘惑してシードフレーズやプライベートキーを共有させます。
ディープフェイクは非常に信じられないほどリアルで、経験豊富な暗号ユーザーでさえもそれに引っかかっています。アバターはコミュニティの認識された人物の声やトーン、さらにはボディランゲージまで真似ています。
最も注目すべきケースの一つとして、Xでのディープフェイクの"イーロン・マスク"のライブストリームが偽のテスラコインのギブアウェイを宣伝し、数分以内に数十万ドルの損失を出しました。
OPSECのヒント:安全を保つ方法
Quillauditsの2025年ガイドから:
| アクション | なぜ重要か | | --- | --- | | 専用デバイスを使用する | 暗号活動を日常のブラウジングから隔離する | | 承認を取り消す | マルウェアは、ロックしたウォレットを排出することはできません | | 公共のWi-Fiを避ける | Crocodilusは安全でないネットワークで繁栄します | | オフラインでXリンクを確認 | ディープフェイク詐欺はクロスチェックすると消える |
このような脅威から保護するために、ユーザーは多層のOPSECアプローチを利用する必要があります。専門家は、高額な投資にはハードウェアウォレットを使用すること、2要素認証を有効にすること、シードフレーズを決して共有しないこと、たとえサポート担当者や正規のソーシャルアカウントであっても共有しないことを推奨しています。
定期的なウォレット承認チェック、ソフトウェアの最新状態の維持、暗号操作を単一使用デバイスに分離することも同様にリスクを減らすことができます。攻撃者がますます革新的で創造的になるにつれて、最善の防御は十分に教育を受け、適切に懐疑的でいることです。