仮想通貨の送金先が書き換わるマルウェア、Microsoftが手口を分析

仮想通貨アドレスを狙うマルウェアにMS警告

米Microsoft（マイクロソフト）は2026年6月17日、コピーした仮想通貨の送金先を書き換えるマルウェア「CryptoBandits.A」の分析結果を公式ブログで公開しました。

このマルウェアは2026年2月から活動が確認されており、クリップボードにコピーされた仮想通貨（暗号資産）ウォレットアドレスを攻撃者のものへ差し替えることで、利用者が正規の宛先へ送金したつもりでも資金が第三者へ送られる被害を引き起こします。

さらにCryptoBandits.AはTor経由でC2（指令サーバー）と通信し、外部から受け取ったコードを実行できるバックドア機能も備えていることから、単なる送金詐欺ではなく遠隔操作型の攻撃基盤として利用される可能性が指摘されています。

Microsoftは、こうした遠隔実行機能によって感染端末がランサムウェア攻撃の展開拠点として利用される恐れがあると警告しており、仮想通貨の窃取に加えて追加のマルウェア配布にも悪用され得るとしています。

Microsoft Defenderではすでに「Trojan:Win32/CryptoBandits.A」として検知が行われており、USB経由の感染からTorを利用した通信に至る一連の挙動も解析結果として公開されています。

180超のアプリを狙う偽画面攻撃

180超の仮想通貨・金融アプリが標的、画面ごと偽装するマルウェア拡大

USB感染からバックドアまで多機能な攻撃基盤

USB経由でワームが自己複製し感染拡大

Microsoftによれば、感染の起点となるのはUSBストレージデバイスに紛れ込んだ悪意ある.lnk（ショートカット）ファイルで、利用者がこれを開いた時点で攻撃が開始されます。

この.lnkは画面上では通常のWord文書やPDFと区別しにくく、利用者が気付かないまま自己増殖型ワーム（自己複製する不正プログラム）を起動する仕組みとなっています。

起動したワームはTor経由でC2から追加プログラムを取得しながら、USB内の正規ファイルを同名の.lnkへ置き換えることで別の端末への感染拡大を図ります。

Microsoftによると、このワームはスケジュールタスクを利用して再起動後も常駐し、Defenderのスキャン対象から自身を除外する処理によって検知回避を試みます。

Tor隠蔽と高速監視でアドレスをすり替え

Microsoftの分析によると、USB経由で定着したワームの背後では、クリップボードを狙う窃取プログラム（クリッパー）が動作しており、Windows標準のスクリプト実行環境WScript（Windows Script Host）を利用して端末の制御を進める仕組みが確認されています。

同社は、このクリッパーがタスクマネージャーの起動状況を監視し、解析作業が行われていると判断した場合には処理を停止する挙動を備えていると報告しています。

解析結果では、「ugate.exe」に偽装したTorプログラムがバックグラウンドで起動され、接続確立後に端末固有のGUID（識別子）がC2へ登録される流れも明らかになりました。

登録後は約500ミリ秒間隔でクリップボードが監視され、シードフレーズ（ウォレット復元用の文字列）や秘密鍵の取得に加え、ウォレットアドレスを書き換える処理が実行されることが確認されています。

Microsoftによれば、その過程で取得したスクリーンショットもTor経由で送信され、C2から「EVAL」コマンドを受信した場合には攻撃者が指定したコードを実行できる状態になるとされています。

こうした通信は、端末内のプロキシ（通信を中継する仕組み）ポート9050を経由してTorへ接続する構成となっており、通信経路の追跡を難しくする目的があるとみられています。

IPより挙動重視の検知をMSが推奨

通信経路の特定が難しいことから、Microsoftはネットワークやアドレス情報ではなく端末上の挙動に着目した検知を有効な手段に挙げています。

具体的には、スクリプト実行環境が不審な子プロセスを生成する動作や、ポート9050を利用したプロキシ通信が有力な判断材料になるとされています。

こうした挙動についてMicrosoft Defender for Endpointは「不審なJavaScriptプロセス」や「Curlによるデータ持ち出しの疑い」として個別に検出します。

Microsoft Defenderアンチウイルスでは、このマルウェアを「Trojan:Win32/CryptoBandits.A」として分類しています。

一方でCryptoBandits.AはTorプログラムを別名で隠蔽しながらDefenderの除外リストへ自身を登録するため、定義ファイルの更新と行動監視を組み合わせた運用が求められています。

Bitgetによるセキュリティ警告

自律型AIエージェントツール「OpenClaw」のプラグインにマルウェア混入｜Bitgetが緊急警告

仮想通貨ユーザーが取るべき防御策

仮想通貨をめぐっては、Ledger（レジャー）が公表したAndroidスマートフォンの脆弱性のように、利用者の端末そのものを狙う脅威が相次いで報告されています。

今回のCryptoBandits.Aも同様の流れに位置付けられ、仮想通貨の窃取と端末侵害を同時に狙う設計が確認されました。

感染した端末はウォレット残高の流出だけでなく、ランサムウェアなど別の攻撃を実行するための踏み台として利用される恐れも指摘されています。

Microsoftは、出所不明のUSBデバイスを利用しないことや、送金前にウォレットアドレスを確認することに加え、Defenderの定義を最新の状態に維持するよう呼びかけています。

今回公開された分析では、USB経由の感染から仮想通貨アドレスの改ざん、遠隔操作機能の悪用に至る一連の手口が明らかにされました。

>>仮想通貨詐欺関連の最新ニュースはこちら

関連の注目記事はこちら

G7が北朝鮮の仮想通貨窃取阻止で結束｜67億ドル超が核・ミサイル開発に

180超の仮想通貨・金融アプリが標的、画面ごと偽装するマルウェア拡大

新たな仮想通貨窃取型マルウェア「Stealka」の報告｜Windowsユーザーに深刻な脅威

Source：Microsoft Security Blog
サムネイル：AIによる生成画像