Kaspersky Labは6月5日(米国時間)、「Satacom delivers browser extension that steals cryptocurrency|Securelist」において、「Satacom」と呼ばれるダウンローダ型マルウェアを使用したサイバー攻撃の最新動向について伝えた。ChromiumベースのWebブラウザに悪意のある拡張機能をインストールして、暗号資産を窃取する最新のサイバー攻撃が発覚した。
Satacomダウンローダは、LegionLoaderとも呼ばれている2019年に出現した有名なマルウェアファミリーの一つ。別のマルウェアをダウンロードするために、DNSサーバにクエリを実行してbase64でエンコードされたURLを取得する手法を用いることで知られている。
このSatacomに関連する新たなマルウェア配布キャンペーンが特定されている。主な目的はターゲットとなる暗号資産企業のWebサイトにWebインジェクションを実行して被害者のアカウントからビットコインを盗み出すことで、目的を達成するため、悪意のあるChromiumベースのWebブラウザ(Google ChromeやMicrosoft Edge)の拡張機能をインストールしようとする。侵害に成功すると、最終的にコマンド&コントロール(C2: Command and Control)サーバと接続し、被害者のビットコインが窃取されてしまう。
悪意のある拡張機能には、暗号資産のWebサイトの列挙や操作などを含むブラウザ操作を実行するためのさまざまなJSスクリプトが備えられている。また、電子メール通知に表示される被害者の暗号資産のアクティビティを隠すため、Gmail、Hotmail、Yahooなどの一部のメールサービスの外観を操作する機能も提供されている。
Satacomは現在も活発に攻撃キャンペーンで使われており、脅威者によって強化されている。最近のキャンペーンではChromiumベースWebブラウザ用拡張機能のサイドロードに使われ、暗号資産を窃取することが確認されている。ダウンロードされるマルウェアはWebブラウザの拡張機能であるため、さまざまなプラットフォームに被害が拡大する可能性があり注意が呼びかけられている。