カスペルスキーは24日、Mt.Goxからの情報流出に見せかけてBitcoinを盗むマルウェアの存在を同社の研究機関Kaspersky Labの公式ブログで発表した。

3月上旬にMt.Gox社のマーク・カーペレスCEOの個人ブログと大規模掲示板「reddit」のアカウントが乗っ取られ、「MtGox2014Leak.zip」というファイルが投稿された。同ファイルには取引に関する情報や業務アプリケーションなどが格納されているように見えたが、実際にはBitcoinを記録する「Bitcoin Wallet」の情報を盗むWindows/Mac用のマルウェアが仕込まれていたという。

投稿された zip ファイルの内容(同社公式ブログより)

マルウェアはアプリ開発用プログラミング言語LiveCodeで作成されていた。アプリを実行すると、Mt.Goxを所有するTibanne Co. Ltd.のデータベースにアクセスするための業務用ソフトウェアを模した画面が開く。この中に暗号化・圧縮されたバイナリ形式でマルウェアのソースコードが埋め込まれ、ソースコードが実行されるとユーザーのWalletファイル「bitcoin.conf」と「wallet.dat」が探しだされ、第三者のWebサーバに情報が転送される。

これらのファイルが暗号化されていない状態で送信されると、ユーザーが所有する全てのBitcoinへのアクセスが可能になるとして、Kaspersky Labは注意を喚起している。

Bitcoin wallet 検索のソースコード(同社公式ブログより)