ChainCatcher のメッセージ、SlowMist の創設者である余弦がコンピュータウイルスの問題に対する対策ガイドを発表し、ブラックマニュアルの中国語版に補足を行いました。彼は、ハッカー組織が社会工学を通じてユーザーにマルウェアをインストールさせたり、悪意のあるコードを実行させたりすることが多いと指摘しました。例えば、投資家、ジャーナリスト、または HR を装って会議ソフトウェアを誘導したり、Telegram や Cloudflare の偽の検証要求を装ってユーザーに悪意のあるコードを実行させたりすることです。余弦は、感染したユーザーに対して以下の措置を迅速に講じることを推奨しています：ウォレットの資金を移動する、重要なアカウントのパスワードを変更し、未知のデバイスのログイン状況を確認する、知名度の高いウイルス対策ソフトウェアを使用してウイルスを駆除する、必要に応じてコンピュータをリセットし、バックアップファイルをウイルススキャンすることです。彼は、これらの攻撃は Windows に対してだけでなく、Mac や一部の Linux システムにも及ぶことを強調しました。

ChainCatcher のメッセージ、Scam Sniffer が X プラットフォームでフィッシング警告を発表し、偽の Microsoft Teams サイトがマルウェアを拡散していることを検出しました。リスクにはデータ漏洩、認証情報の盗難、セッションハイジャック、ウォレットの盗難が含まれます。インストール前に出所を確認してください。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、CyberArk は MassJacker という名前の新しい暗号ハイジャックマルウェアが、クリップボードに保存されたアドレスを置き換えることで暗号通貨取引をハイジャックし、ユーザーが違法コピーソフトウェアをダウンロードする際に知らず知らずのうちにデバイスに感染することをターゲットにしていることを発見しました。CyberArk は、778,531 のユニークなウォレットがこの盗難に関連していることを発見し、423 のウォレットが暗号資産を保有していたことがわかりました。

ChainCatcher のメッセージによると、Decrypt の報道では、Socket 研究チームが新たな攻撃の中で、北朝鮮のハッカー組織 Lazarus が6つの新しい悪意のある npm ソフトウェアパッケージに関連していることを発見しました。これらのパッケージは、ユーザーの認証情報を盗むためのバックドアを展開しようとしています。さらに、これらのマルウェアは暗号通貨データを抽出し、Solana および Exodus 暗号ウォレット内の敏感な情報を盗むことができます。攻撃は主に Google Chrome、Brave、Firefox ブラウザのファイルおよび macOS のキーチェーンデータを対象としており、開発者が意図せずにこれらの悪意のあるパッケージをインストールするように仕向けています。今回発見された6つの悪意のあるソフトウェアパッケージは、is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency、auth-validator です。これらは「typosquatting」（スペルミスの名前を利用すること）を通じて開発者を騙してインストールさせます。APT 組織はそのうちの5つのパッケージのために GitHub リポジトリを作成し、合法的なオープンソースプロジェクトに偽装して、悪意のあるコードが開発者によって使用されるリスクを高めています。これらのパッケージは330回以上ダウンロードされています。現在、Socket チームはこれらのパッケージの削除を要求し、関連する GitHub リポジトリおよびユーザーアカウントを報告しました。Lazarus は悪名高い北朝鮮のハッカー組織であり、最近の14億ドルの Bybit ハッキング、4100万ドルの Stake ハッキング、2700万ドルの CoinEx ハッキング、そして暗号業界における無数の他の攻撃に関連しています。

ChainCatcher のメッセージによると、『聯合早報』の報道で、シンガポール内務省の政務大臣である孫雪玲氏は、昨年の詐欺による総損失額の中で、暗号通貨詐欺が4分の1を占めていると述べました。昨年、最も多額の被害を受けた詐欺事件では、被害者が偽の会議リンクをクリックした後、コンピュータに悪意のあるコードをダウンロードして実行し、約1億2500万シンガポールドルの損失を被りました。孫雪玲氏は、悪意のあるソフトウェアに加えて、詐欺師が偽のウェブページを作成したり、フィッシングリンクを送信したり、または「ポンプ・アンド・ダンプ」（pump and dump）の手法を使ってミームコイン（Memecoin）の価格を吊り上げてから暴落させたりすることもあると述べました。「私たちが一般の人々に推奨するのは、暗号通貨から離れることです。『焼かれる』リスクは非常に高く、詐欺の被害者になった場合、1セントでも取り戻す機会は非常に薄いです。」

ChainCatcher のメッセージによると、Decrypt の報道では、ハッカー組織 Crazy Evil が「ChainSeeker.io」という偽の Web3 会社を設立し、暗号業界の求職者を騙して財布の資金を盗むマルウェアをダウンロードさせたとのことです。ネットセキュリティサイト Bleeping Computer によれば、この組織は LinkedIn と X にプロフィールを作成し、「ブロックチェーンアナリスト」や「ソーシャルメディアマネージャー」などの標準的な暗号業界の職を募集しています。彼らはまた、LinkedIn、WellFound、CryptoJobsList などのサイトに高品質な広告を掲載し、広告の露出を高めています。その後、求職者はこの偽の会社の「最高人事責任者」からのメールを受け取り、偽の「最高マーケティング責任者」（CMO）に Telegram で連絡するよう招待されます。いわゆる CMO は、その後、彼らに GrassCall という仮想会議ソフトウェアをダウンロードしてインストールし、CMO が提供するコードを入力するよう促します。すると、GrassCall はさまざまな情報窃取マルウェアやリモートアクセス型トロイの木馬（RAT）をインストールし、これらのマルウェアは暗号財布、パスワード、Apple Keychain データ、ブラウザに保存された認証クッキーを検索します。現在、ほとんどの広告はソーシャルメディアから削除されているようです。

ChainCatcher のメッセージによると、Cointelegraph の報道で、ネットワークセキュリティ会社 Kaspersky が最近発表した研究によれば、ハッカーが GitHub プラットフォーム上で数百の偽プロジェクトを作成し、ユーザーを騙して暗号通貨や認証情報を盗むマルウェアをダウンロードさせていることが示されています。Kaspersky はこのマルウェア活動を「GitVenom」と名付けました。Kaspersky のアナリスト Georgy Kucherin は、2 月 24 日の報告書で、これらの偽プロジェクトにはビットコインウォレットを管理する Telegram ボットや自動化された Instagram アカウントのインタラクションツールなどが含まれていると指摘しています。ハッカーはプロジェクトの説明書を巧妙に設計し、AI ツールを使用してコンテンツを生成し、プロジェクトの「コミット」回数を人工的に増やして、プロジェクトが積極的に開発されているように見せかけています。Kaspersky の調査によれば、これらの悪意のあるプロジェクトは少なくとも 2 年前に遡ることができ、プロジェクトがどのように提示されていても、Telegram を通じてユーザーが保存した認証情報、暗号通貨ウォレットデータ、ブラウジング履歴をアップロードする情報窃取ツールや、暗号ウォレットアドレスを置き換えるクリップボードハイジャッカーなどの悪意のあるコンポーネントが含まれています。2023 年 11 月には、あるユーザーがこのために 5 ビットコイン（約 44.2 万ドル）を失いました。Kaspersky は、ユーザーがダウンロードする前に第三者のコードの動作を慎重に確認することを推奨しています。

ChainCatcher のメッセージによると、Decrypt の報告で、マイクロソフト傘下の Microsoft Threat Intelligence の研究者たちは、暗号財布をターゲットにした新しいタイプのマルウェアを発見しました。XCSSET は 2020 年に初めて発見され、悪意のある行為者がスクリーンショットをキャプチャし、ユーザーの行動を記録し、Telegram のデータを盗むことを可能にします。更新されたバージョンは、Apple Notes アプリケーション内のデータを特定し、難読化技術を使用してマルウェアを発見しにくくします。XCSSET は理論的には、最終ユーザーがブラウザで見る内容を操作する能力も持っています。これには、ビットコインやその他の暗号通貨アドレスの変更や置き換えが含まれる可能性があり、資金が望む目的地に送信されないことを意味します。研究者たちは、ユーザーは常にリポジトリからダウンロードまたはクローンした Xcode プロジェクトを確認し、検証する必要があると補足しています。マルウェアは通常、感染したプロジェクトを通じて広がるためです。また、信頼できるソースからのアプリケーションのみをインストールするべきであり、例えばソフトウェアプラットフォームの公式アプリストアからのものです。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、ネットワークセキュリティ会社 Kaspersky Labs は、Google Play ストアや Apple App Store でアプリケーションを作成するためのマルウェア開発キットがユーザーの画像をスキャンし、暗号財布の復元フレーズを探して資金を盗むことを示しています。Kaspersky Labs の報告によると、SparkCat という名前のマルウェアがデバイスに感染すると、光学文字認識（OCR）窃盗ツールを使用して、異なる言語の特定のキーワードを画像内で検索します。侵入者は暗号財布の復元フレーズを盗み出し、これにより被害者の財布を完全に制御し、さらなる資金の盗難を行います。このマルウェアの柔軟性により、秘密のフレーズを盗むだけでなく、アルバムからメッセージの内容やスクリーンショットに残された可能性のあるパスワードなど、他の個人データも盗むことができます。報告書では、敏感な情報をスクリーンショットや携帯電話のアルバムに保存しないようにし、パスワードマネージャーを使用することを推奨しています。また、疑わしいまたは感染したアプリケーションを削除することも推奨されています。報告書は、このマルウェアの出所は不明であり、既知の組織に帰属することはできませんが、2023年3月に ESET の研究者が発見した活動に似ていると述べています。

ChainCatcher のメッセージ、Scam Sniffer が X プラットフォームで発表し、Google 広告に暗号ユーザーを狙った偽の Homebrew マルウェアが出現したことを明らかにしました。攻撃者は偽の広告を使用して被害者を騙し、マルウェアをダウンロードさせることを目的としています。これらのマルウェアは暗号ウォレットのデータを盗み、資産を奪うことを目的としています。

ChainCatcher のメッセージによると、Scam Sniffer の監視により、攻撃者が偽の Cloudflare 認証ページを使用してクリップボード注入とコマンド実行を通じてマルウェアを展開していることがわかりました。

ChainCatcher のメッセージによると、Decrypt の報道で、最近 Check Point が「Banshee」と呼ばれる macOS マルウェアを発見しました。このマルウェアは、ウイルス対策ソフトウェアの検出を回避するために Apple の暗号化アルゴリズムを模倣し、暗号ウォレットやブラウザの認証情報をターゲットに攻撃を行います。しかし、Apple のセキュリティ研究者である Patrick Wardle は、この脅威はメディアによって過大評価されており、実際の危害は限られていると述べています。Banshee は「盗難即サービス」（Stealer-as-a-Service）として運営されていましたが、ソースコードの漏洩により 2024 年 11 月に終了しました。Wardle は、このソフトウェアの暗号化方法は比較的基本的であり、新しい macOS システムはこのような脅威に対してデフォルトで防御できるため、一般ユーザーにはほとんどリスクがないと指摘しています。彼は、特定のマルウェアに注目するよりも、基本的なセキュリティプラクティスに焦点を当てるべきだと強調しています。

ChainCatcher のメッセージによると、Scam Sniffer の監視により、ある被害者が偽の Zoom マルウェアによって 100 万ドルの損失を被ったことが確認されました。これは us04-zoom[.]us の脅威行為者に関連しています。現在、秘密鍵盗難のマルウェア事件が増加しており、出所の厳格な確認とインストール前のセキュリティスキャンが必要です。

ChainCatcher のメッセージ、Scam Sniffer が X プラットフォームで投稿を公開し、2 名の被害者が最近 Solana アドレスの毒攻撃により 272 枚の SOL を失ったことを明らかにしました。同じ詐欺師は過去 1 ヶ月間に Solana アドレスの毒攻撃手段を通じて 310 万ドル以上の損失を引き起こしています。

ChainCatcher のメッセージによると、Forbes の報道で、研究者たちは macOS ユーザーを対象としたマルウェア攻撃が4ヶ月間活発であることを確認しました。この攻撃は、ビデオ会議アプリに偽装したマルウェアを通じて、Keychain 内のパスワードや Google Chrome、Brave、Opera などのブラウザのセッションクッキー、暗号通貨ウォレットの情報を盗みます。Cado Security Labs のタラ・グールドによれば、攻撃者は AI 生成のコンテンツを利用して偽のウェブサイトやソーシャルメディアアカウントを作成し、信頼できる企業に偽装しています。被害者は、Telegram などのプラットフォームを通じて接触し、ブロックチェーンや暗号通貨のビジネスチャンスについて話し合います。ファイルがインストールされた後、ユーザーに macOS のパスワードを入力するように促し、データの窃取をさらに実施します。セキュリティ専門家は、特にビジネス関連の不審なリンクに対して警戒を高めるようユーザーに勧めています。Intego VirusBarrier などの防護ツールを使用することで、このような脅威に効果的に対抗できます。

ChainCatcher のメッセージによると、Cointelegraph の報道で、Radiant Capital は 12 月 6 日に更新された調査報告書で、サイバーセキュリティ会社 Mandiant が評価した結果、今回の攻撃は北朝鮮（DPRK）に関連する脅威行為者によるものであると高度に確信していると述べています。このプラットフォームによると、Radiant の開発者の一人が 9 月 11 日に、"信頼できる前の請負業者" からの圧縮ファイルを含む Telegram メッセージを受け取り、彼らが計画している新しい仕事についてフィードバックを求められました。調査の結果、このメッセージは前の請負業者を装った北朝鮮と結びついた脅威行為者からのものである疑いがあります。"この ZIP ファイルは、他の開発者にフィードバックを求める際に共有され、最終的にマルウェアを送信し、その後の侵入を容易にしました"。Radiant Capital は、この事件に関与した脅威行為者を "UNC4736" と呼び、北朝鮮の主要な情報機関である情報総局（RGB）に関連しているとされ、ハッカーグループ Lazarus Group の一派であると推測されています。以前の報道によると、クロスチェーン貸付プロトコル Radiant Capital はサイバー攻撃を受け、5000 万ドル以上の損失を被りました。

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、北朝鮮のハッカーが Apple のセキュリティチェックを回避できるマルウェアを開発したようです。Apple に特化した Jamf Threat Labs の研究者は、これらのアプリケーションが実験的であるようだと述べています。これは、彼らがこの技術を使用して Apple の macOS オペレーティングシステムに侵入するのを初めて見たことになりますが、最新のシステムでは動作しません。研究者たちは、Microsoft の VirusTotal オンラインスキャンサービスがこれらのアプリケーションを無害と報告しているが、実際には悪意があることを発見しました。これらのアプリケーションのバリエーションは、Go と Python 言語で書かれており、Google Flutter アプリケーションを使用しています。Flutter は、マルチプラットフォームアプリケーションを作成するためのオープンソース開発ツールキットです。6 つの悪意のあるアプリケーションのうち 5 つは開発者アカウントの署名があり、Apple によって一時的に公証されています。研究者たちは「このマルウェアに含まれるドメイン名と技術は、他の北朝鮮のハッカーによるマルウェアで使用されているドメイン名と技術と非常に似ており、このマルウェアが署名され、さらには一時的に Apple の公証プロセスを通過した兆候がある」と書いています。

ChainCatcher のメッセージによると、Scam Sniffer の監視により、悪意のあるソフトウェア「EdtiProAI」が X 広告を利用して潜在的な被害者を狙おうとしていることがわかりました。ユーザーが誤ってこのソフトウェアをインストールすると、ウォレットの秘密鍵が危険にさらされる可能性があります。

ChainCatcher のメッセージによると、Cointelegraph の報道に基づき、SentinelLabs のレポートによれば、北朝鮮のハッカー BlueNoroff が新しいマルウェアを利用して暗号通貨会社を攻撃しているとのことです。通称「Hidden Risk」のマルウェアは、複数の段階を経て PDF ファイルを通じて拡散し、偽のニュースタイトルや暗号市場の研究を利用してユーザーにダウンロードを促しています。このマルウェアパッケージには、ハッカーが被害者のコンピュータにリモートアクセスし、デジタル資産ウォレットやプラットフォームの秘密鍵を含む敏感な情報を盗むためのバックドアを提供する機能が含まれています。サイバーセキュリティ会社 Recorded Future によれば、2017 年以来、北朝鮮のハッカー組織は約 300 億ドルの資金を盗んでいるとのことです。