ウォレットドレイナーマルウェアとは何ですか?またその仕組みは何ですか?

定義とコアメカニズム

1. ウォレット ドレイナー マルウェアは、暗号通貨ウォレット インターフェイス、秘密キー入力、および Web ブラウザおよびデスクトップ アプリケーション内のセッション トークンをターゲットにすることのみを目的として設計された特殊なクラスのクライムウェアです。

2. これは、侵害された Web サイトまたはブラウザ拡張機能に悪意のある JavaScript を挿入することによって動作し、ウォレット アドレスを含むコピー＆ペースト操作中にクリップボードの内容をリアルタイムで傍受できるようにします。

3. このマルウェアは、アクティブなブラウザ タブを監視して既知のウォレット ドメイン パターン (metamask.io、phantom.app、trustwallet.com など) を検出し、それらのドメインが検出された場合にのみペイロードの実行をトリガーします。

4. 有効化されると、正規のウォレット UI を模倣した偽のトランザクション確認モーダルをオーバーレイし、改ざんを視覚的に示すことなく、ユーザーをだまして攻撃者が管理するアドレスへの送金を承認させます。

5. 一般的なトロイの木馬とは異なり、ウォレット ドレイナーはホスト システム上に存続しません。これらは完全にメモリ内で実行され、ブラウザを閉じると消えて、最小限のフォレンジック痕跡が残ります。

暗号エコシステムにおける感染ベクトル

1. 侵害された npm パッケージは、配信メカニズムとして機能することがよくあります。開発者は、ビルド プロセスにフックし、本番フロントエンド バンドルにドレイナー スクリプトを挿入する悪意のある依存関係を無意識のうちにインストールします。

2. 非公式の Chrome Web ストアのミラーまたは Telegram チャネルを通じて配布される偽のウォレット ブラウザ拡張機能には、Web ページへの MetaMask インジェクションを検出した後にのみアクティブになる難読化されたコードが含まれています。

3. 分散型取引所 (DEX) インターフェイスを偽装するフィッシング サイト (なりすましの Uniswap または PancakeSwap ランディング ページなど) は、機能的な UI 要素をレンダリングする前にドレイナー ロジックを読み込みます。

4. 「スマート コントラクト監査ツール」または「ガス オプティマイザー ユーティリティ」とラベル付けされた悪意のある GitHub リポジトリは、ユーザーに「分析」のためにウォレットに接続するよう促し、その後すぐに不正な転送を開始します。

5. ドライブバイ ダウンロードは、ユーザーがハッキングされた暗号通貨ニュース ポータルやフォーラム スレッドにアクセスすると発生します。そこでは、挿入された iframe が防弾ホスティング プロバイダーからリモート ドレイナー ペイロードをロードします。

実行中の技術的な動作

1. マルウェアはethereum.request() API 呼び出しをハイジャックし、ユーザーのウォレット拡張機能に到達する前にすべてのトランザクション リクエストを傍受し、宛先アドレスを攻撃者が制御するアドレスに置き換えます。

2. DOM を変更して、表示プロパティを none に設定することで元のウォレットのポップアップを抑制すると同時に、同一に見えるが承認を別の場所にルーティングする複製された UI 要素をレンダリングします。

3. クリップボード監視はdocument.addEventListener('copy', ...)によって実装され、コピーされたすべての文字列をキャプチャし、イーサリアムまたは Solana アドレスを攻撃者が所有する同等のアドレスにリアルタイムで置き換えます。

4. セッション トークンの盗難は、ウォレットの接続状態を含むブラウザのローカル ストレージ エントリをターゲットにしており、攻撃者が再承認せずに複数の dApp 間で認証されたセッションを再利用できるようになります。

5. 一部の亜種は、Tor 非表示サービスでホストされているコマンド アンド コントロール サーバーに WebSocket 接続を展開し、セッション中に動的アドレス リストと構成更新を受信します。

防御策

1. 公式ストア以外のブラウザ拡張機能は決してインストールしないでください。「サイト データの読み取りと変更」などの権限を付与する前に、発行者名、レビュー数、更新頻度を確認してください。

2. ウォレット拡張機能の自動接続機能を無効にし、ドメイン間の永続的なアクセスを許可する代わりに、各 dApp 接続を手動で承認します。

3. 画面ベースのトランザクション検証でハードウェア ウォレットを使用します。マルウェアはデバイスのディスプレイに物理的に表示される内容を変更できません。

4. 署名直後に Etherscan や Solscan などのブロックチェーン エクスプローラーを使用して送信トランザクションを監視し、ブロック確認前に受信者のアドレスと値の両方をチェックします。

5. Firefox マルチアカウントコンテナなどのブラウザサンドボックスツールを利用して、ウォレットのやり取りを一般的なブラウジングアクティビティから分離します。

よくある質問

Q: ウォレットドレイナーマルウェアはモバイルウォレットに影響を与える可能性がありますか?はい。ウォレット アップデーターまたはブロックチェーン エクスプローラーを装った Android APK が、古い OS バージョンを実行しているデバイス上でトランザクション確認を傍受するオーバーレイ アクセス許可をインストールすることが観察されています。

Q: VPN を使用するとウォレットドレイナー攻撃を防ぐことができますか?いいえ。ウォレット ドレイナーは、ブラウザまたは拡張機能環境内のアプリケーション層で動作します。 VPN によって提供されるネットワーク レベルの暗号化は、DOM 操作やクリップボード フックを妨げません。

Q: オープンソースのウォレット プロジェクトはドレイナー統合の影響を受けませんか?いいえ。監査されたいくつかの GitHub リポジトリには、ソース コードの可視性を変更することなく、自動ビルド中にドレイナー ロジックを挿入する侵害された CI/CD パイプラインが含まれていることが後に判明しました。

Q: ウイルス対策ソフトウェアはウォレット ドレイナー スクリプトを検出できますか?めったに。ほとんどのドレイナーは、ポリモーフィック難読化、ドメイン生成アルゴリズム、ヒューリスティック分析エンジンを回避するゼロデイ悪用手法を使用して、シグネチャベースの検出を回避しています。