マイクロソフトのインシデント対応チームは、デジタルウォレット拡張機能を狙って暗号通貨の保有を危険にさらすために設計された新しいリモートアクセス型トロイの木馬(RAT)を特定しました。このマルウェアはStilachiRATと名付けられ、システム情報の収集、ログイン情報の盗難、複数のプラットフォームにわたる暗号通貨ウォレットからのデータの抽出が可能です。
トロイの木馬は、Metamask、Trust Wallet、Coinbase Wallet、Phantomなどの20以上の人気暗号通貨ウォレット拡張機能をGoogle Chrome用に特に対象にしています。マイクロソフトの調査によると、このマルウェアはインストールされている拡張機能を検証するためにレジストリ設定にアクセスできることが判明しました。識別されると、攻撃者が被害者のデジタル資産にアクセスできる可能性のある機密データを抽出することができます。
「StilachiRATはGoogle Chromeブラウザ用の特定の暗号通貨ウォレット拡張機能のリストを狙っています。次のレジストリキーの設定にアクセスし、拡張機能がインストールされているかどうかを検証します」とマイクロソフトは3月17日のセキュリティ公告で述べています。このマルウェアはまだ広く配布されていないものの、その高度な技術と潜在的影響に対する懸念が専門家の間で高まっています。
このマルウェアは、被害者のオペレーティングシステム、ハードウェア識別子、アクティブなセッションに関する情報を収集する偵察フェーズから攻撃サイクルを開始します。その後、Chromeに保存されたパスワードを狙った資格情報の窃盗や、ウォレットキーやパスワードのコピーを頻繁に行うクリップボードデータの監視に重点を置きます。この多段階アプローチにより、攻撃者は窃盗を開始する前に包括的なデータを収集できます。
マイクロソフトのセキュリティチームは、StilachiRATの高度な反鑑識能力が特に懸念されると指摘しました。トロイの木馬はイベントログを削除したり、システム状態を評価して検出メカニズムを回避することができます。これらの回避技術により、通常のセキュリティツールによる特定と削除が著しく困難になります。
リスクを軽減するために、マイクロソフトはユーザーにいくつかのセキュリティ対策を直ちに実施するように助言しています。「いくつかのケースでは、リモートアクセス型トロイの木馬が正当なソフトウェアまたはソフトウェアの更新として偽装することがあります。常にソフトウェア開発者の公式ウェブサイトまたは信頼できる情報源からソフトウェアをダウンロードしてください」とマイクロソフトは助言の中で強調しています。同社はまた、Microsoft Defenderでリアルタイム保護を有効にし、SmartScreenを備えたブラウザを使用して悪意のあるウェブサイトをブロックすることを推奨しています。
追加のセキュリティ推奨事項には、すべてのアカウントに多要素認証を有効にし、すべてのアプリケーションに最新のソフトウェア更新を保持することが含まれます。これらの基本的なセキュリティ対策により、このような脅威に対する脆弱性を大幅に低減できます。
この発見は、暗号通貨関連の犯罪に対する懸念が高まる中で行われました。Chainalysisの2025年暗号犯罪動向報告書によると、違法な暗号通貨取引は現在、年間40億ドルから50億ドルの間に及びます。これらの資金は、ランサムウェア攻撃、高度なマルウェア操作、およびその他のサイバー犯罪活動を通じて取得されます。
報告書はさらに、2024年には不正な暗号取引の量が510億ドルを超える可能性があると予測しており、報告期間中の年間平均増加率が25%になるとしています。これは、世界中で暗号通貨の普及が進むにつれて、デジタル資産を狙った攻撃がますます高度化していることを示しています。
セキュリティアナリストは、暗号通貨の保有がより主流になるにつれて、ユーザーはこれらの資産を危険にさらすために設計された攻撃をよりターゲットにするようになると強調しています。StilachiRATの発見は、デジタル通貨の保有者を狙うサイバー犯罪者が採用する戦術の重要な進化を示しています。