Microsoft脅威インテリジェンスチームは、トロイの木馬「Trojan/CryptoBandits」として検出されるこのマルウェアが、単一のアプリケーション内に複数の攻撃手法を組み込んでいると報告しています。感染の起点は、USBドライブに保存された悪意のあるWindowsショートカット(.LNK)ファイルです。被害者がこのファイルを開くと、マルウェアはシステム上のPDF・DOC・XLSXなどの文書ファイルをスキャンし、正規ファイルを隠蔽したうえで同名の悪意あるショートカットに置き換えます。これにより、別のユーザーが意図せずマルウェアを実行するリスクが高まります。

マルウェアの中核には「クリッパー」コンポーネントが搭載されており、500ミリ秒ごとにクリップボードの内容を監視します。暗号資産のウォレットアドレス、秘密鍵、リカバリーフレーズが検出されると、攻撃者が管理するアドレスへ静かに置き換えます。ユーザーが送金先アドレスをコピー&ペーストするたびに、資金の送付先が攻撃者のウォレットへ差し替えられる仕組みです。

対象となる暗号資産エコシステムはBitcoin、Ethereum、Tron、Moneroにわたり、BIP39規格の12語・24語のシードフレーズも探索します。窃取されたデータはTorネットワーク経由で送信されるため、追跡が困難です。さらに、スクリーンショットの取得やリモートコード実行機能も備えており、システムにバックドアを設置して取引所アカウントを含む資産へのアクセスを試みます。Torクライアントの同梱、スケジュールタスクによる永続化、ワーム的なUSB伝播の組み合わせが、検出と対処を特に難しくしています。

Microsoftは利用者に対し、送金前にウォレットアドレスを必ず目視確認すること、出所不明のショートカットファイルを開かないこと、リムーバブルメディアの使用に慎重を期すことを推奨しています。