Microsoft、メタマスクなど仮想通貨ウォレットを狙う新型マルウェア「StilachiRAT」について注意喚起

主な特徴と危険性

Microsoft社のセキュリティ研究チームは17日、暗号資産（仮想通貨）ウォレットを標的とする新たなマルウェア「StilachiRAT」について注意喚起した。

このマルウェアは同セキュリティ研究チームが2024年11月に検出を発表したもので、トロイの木馬の一種と見られる。

最も普及するメタマスク（MetaMask）やTrust Wallet、Phantom、BitGet Wallet（旧BitKeep）、TronLinkなどの主要ウォレットが含まれており、Google Chromeブラウザ向けの20種類以上の暗号資産ウォレット拡張機能を標的にしている。

マルウェアがPC内に侵入すると、Windowsレジストリにアクセスし、Chrome拡張機能のインストール情報を検索する。具体的には、「HKEY_CURRENT_USER\Software\Google\Chrome\Extensions」などのレジストリパスを参照し、標的とする暗号資産ウォレット拡張機能（MetaMask、Trust Walletなど）のIDを見つけ出した上、ブラウザに保存された認証情報を復号化して窃取するという。

マルウェアの名称に含まれる「RAT」（Remote Access Trojan）は、MacではなくWindowsシステム向けに設計されたものとみられ、iPhoneやAndroidなどのスマートフォン端末は、このマルウェアの直接的な標的とはなっていないが、偽装されたフィッシングアプリなどの脅威はあり得る。

マイクロソフト研究チームの報告によれば、特に中国でポピュラーなTron関連の暗号資産情報を探すために、クリップボードを継続的に監視し、特定のパターン（TRXアドレスや秘密鍵など）を検出すると情報を窃取する機能も持っているとされる。

感染経路と対策

現時点では、StilachiRATの正確な感染経路は特定されていないが、Microsoftは複数のベクトルを通じてインストールされる可能性があると警告している。

同社は対策として、ソフトウェアは公式サイトや信頼できるソースからのみダウンロードすること、Microsoft EdgeやSmartScreen機能を持つブラウザを使用すること、セキュリティソフトを最新の状態に保ちリアルタイム保護を有効にすることなどを推奨している。

特に暗号資産の保有者は、重要な秘密鍵やシードフレーズをハードウェアウォレットに保管するなど、追加的なセキュリティ対策を講じることが重要である。

なお、多くの場合、こうしたマルウェアは以下のような経路で感染するため注意したい。

不審なウェブサイトからのソフトウェアダウンロード
フィッシングメールの添付ファイル
信頼できない提供元からのアプリケーションインストール
偽装されたブラウザ拡張機能