Clipboard Hijacker マルウェア vs. FFRI yarai

2018年７月、海外で「Clipboard Hijacker」と呼ばれるマルウェアが見つかり、暗号通貨ウォレットが乗っ取られる恐れがあるとして注意喚起が行われています。

・この新しいマルウェアはWindowsのクリップボードを乗っ取り、暗号通貨アドレスを書き換える

・Clipboard Hijacker Malware Monitors 2.3 Million Bitcoin Addresses

　

【マルウェア概要】

「Clipboard Hijacker」マルウェアはWindowsのクリップボード内にコピーされている暗号通貨ウォレットのアドレスを監視して、悪意ある攻撃者のアドレスに書き換えてしまうものです。つまり、自身のアドレスをコピーしても貼り付けられるのは攻撃者のアドレスとなり、自身の暗号通貨が詐取される恐れがあります。

Bleeping Computer社によると、230万を超える暗号通貨のアドレスがこのマルウェアによって監視されており、アドレスを貼り付けた際に攻撃者のアドレスに書き換えられています。

通常、暗号通貨ウォレットのアドレスは長く覚えにくいアドレスが使用されています。そのため、アドレスが書き換えられていてもユーザーは気づかない可能性があります。そのため、ユーザーは攻撃されていることに気づかずに攻撃者のウォレットへコインを送信してしまいます。

　

【被害に遭わないための対策】

このマルウェアの被害にあった場合、暗号通貨のコインが詐取される恐れがあります。

マルウェアの攻撃から身を守るために、UAC（ユーザーアカウント制御）を有効にして信頼できるファイル以外を許可しないこと、信頼できるサイト以外から入手したファイルやメールに添付されたファイルは安易に開かないこと、一般的なアンチウイルスソフトのパターンファイルを最新に更新しておくこと、そして次世代エンドポイントセキュリティのようなパターンファイルに頼らない未知のマルウェアから防御可能なセキュリティ対策を取ることが大切です。
FFRI yarai は「Clipboard Hijacker」マルウェアが実行される前に検知・防御します。

　

【FFRI yaraiによる防御】

FFRI yaraiは2017年12月にリリースしたエンジンで検知・防御していることを確認しました。 についてスタティック分析(静的解析)で検知・防御します。

FFRI yaraiは既存のアンチウイルスソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した５つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。 詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。
・CODE:Fの核となる5つのエンジンによる多層防御とは

■検証環境
Windows 7 ✕ FFRI yarai 2.11.0(2017 年 12月リリース)

■検証した検体のハッシュ値(SHA-256)
　2018-02-13 07:48:34 UTC時点のVirusTotal（注） 検出率は5 / 64
・48b66dd02a336eb049a784b3fd1beb5312fb8c078b3729d49e92e3e986c98e91

Clipboard Hijacker マルウェアを使用した攻撃はすでに確認されており、被害に遭わないためにも早急な対策が必要と言えます。
ＦＦＲＩでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。

（注）ファイルやURLを分析しマルウェア検査を行うオンラインスキャンサービス

関連記事

FFRI yarai が「CVE-2018-8174」脆弱性を利用した攻撃を検知

FFRI yarai が「CVE-2018-4990」脆弱性を利用した攻撃を検知

「EternalBlue」脆弱性攻撃を利用したランサムウェア「Satan」 vs. FFRI yarai

エンドポイント多層防御が、３度に渡って、「ChessMaster」の攻撃キャンペーンを検知・防御

FFRI yarai が「CVE-2018-4878」脆弱性を利用した攻撃を検知

FFRI yarai防御実績

FFRI yarai導入事例