元記事

www.darkreading.com

一次ソース

explore.securityscorecard.com

概要

• MITB (Man-in-the-Browser) 攻撃により暗号通貨の「中抜き」が行われる事例が増加している
  • MITB 攻撃: 2008 年ごろからオンラインバンキングの不正送金に多数利用
• MITB 攻撃はサービスとして提供されており有料で利用可
• ボット化した PC に悪意のあるコードを送信しておき、被害端末の利用ユーザーが Coinbase や Bitcoin ウォレットの Blockchain.info などのサイトへ接続した際に中抜きが行われる

MITB (Man-in-the-Browser) 攻撃についての参考資料

• Wikipedia による解説
• Networkキーワード MITB攻撃

確認された攻撃内容

目的

• ボット化した感染済みのホストの正規のユーザーがたまたま暗号通貨取引をしているケースを狙い、送金先を自身の管理するアカウントに密かに変更して暗号通貨を窃取する

攻撃の前提条件

• 予めマルウェア感染済みのホスト (ボット) を多数支配下においていること

Coinhive での攻撃機序

• ボットの管理者(ボットマスター)は、有料 MITB サービスを購入、支配下にあるホストが正規の暗号通貨取引所である Coinbase ないし Blockchain.info に接続した場合にその通信内容を書き換えるプロキシ型のトロイの木馬に感染させておく
• ボット化した端末の正規のユーザーが暗号通貨取引を行うためにブラウザで Coinhive ないし Blackchain.info のいずれかのサイトにアクセスしたことをプロキシ型トロイの木馬で検知する
• トロイの木馬が web サーバーから送られてきた web トラフィックの内容とアカウント設定を書き換えてからブラウザ上に表示する
  • Enter キーの押下を無効化して Submit ボタンを押さないと処理を行えないようにする
  • ニセの送信ボタンを表示してクリックさせることでユーザーの多要素認証情報を窃取し、最終的にその情報を使ってアカウント設定を書き換える
    • 窃取した情報を使って被害ユーザーのアカウント設定にアクセス、認証なしで送金可能な設定に変更
    • ユーザーが設定画面にアクセスして二段階認証を有効化できないようにロック
• アカウント設定の変更後、認証なしで送金を行う

Blackchain.info での攻撃機序

• 攻撃方法は Coinhive でのものと類似しているが、ビットコインを窃取して攻撃者の保有するアカウントに送信させることが目的
• 攻撃終了後は発覚を遅らせるため、サイトにアクセスされると「サービス利用停止」のニセ画面を表示する

MITB による大規模攻撃キャンペーンも確認されている

• セキュリティ調査会社 Minerva による報告「MITB や web インジェクトにより暗号通貨窃取を狙う事例は暗号通貨の高騰にともない増加している」
  • 対象とされる主な暗号通貨: Bitcoin、Monero など
• 同社が GhostMiner と名付けた攻撃キャンペーンでは、 PowerShell フレームワークを使ったファイルレスな暗号通貨マイニング用マルウェアが利用されており、AV 製品によるマルウェア検出を効果的に回避している
• 「ほとんどの大手 AV 製品で同脅威のペイロードが検出できなかった」