注意: Microsoft OneDrive がクリプト マイナーにハイジャックされる可能性があります

最近のイーサリアムの合併は、ほとんどのマイナーにとって一般的に悪いニュースをもたらしました。それが起こる直前に、非常に多くの人が高価な GPU を取り除くのに忙しかったのです。しかし、高価なマイニング機器を購入する費用を回避する別の方法を考え出した人もいます。また、悪意のある攻撃者はクリプトジャッキングを使用する傾向があり、被害者のコンピューターやその他のデバイスをひそかに使用して仮想通貨をマイニングします。

このような最新の開発では、ウイルス対策メーカーの Bitdefender が、Microsoft の OneDrive が攻撃者グループによってクリプトジャッキングの目的で使用されていることを発見しました。このキャンペーンは、エクスプロイトを使用してダイナミック リンク ライブラリ (DLL) を傍受するか、OneDrive のサイドローディングの脆弱性を使用して操作を実行しました。Bitdefender は 2022 年 5 月から 7 月にかけてキャンペーンを監視し、この期間中に同様のエクスプロイトを使用した 700 件以上のクリプトジャッキングが発見されました。

レポートによると、攻撃者は悪意を持って作成されたsecure32.dllファイルを利用して、潜在的な被害者のシステムに感染します。%LocalAppData%\Microsoft\OneDrive\内でホストされ、ネイティブの OneDrive プロセスと共に読み込まれます。保護を目的として、攻撃者は OneDrive.exe プロセスが再起動のたびに実行されるように構成しました。感染すると、偽の secure32 DLL ファイルを使用して、被害者のシステムにマイニング ソフトウェアをダウンロードします。

Bitdefender は次のように説明しています。

攻撃者は、OneDrive プロセス (OneDrive.exe または OneDriveStandaloneUpdater.exe) のいずれかによって読み込まれる昇格されていないユーザーとして、偽の secure32.dll を %LocalAppData%\Microsoft\OneDrive\ に書き込みます。

%LocalAppData%\ Microsoft\OneDrive\OneDriveStandaloneUpdater.exe は既定で毎日実行されるようにスケジュールされているため、攻撃者は OneDrive dll の 1 つを使用して保存を簡単に保護します。

永続性をさらに強化するために、偽の secure32.dll ドロッパーは、Windows レジストリを使用して、再起動のたびに %LocalAppData%\ Microsoft\OneDrive\OneDrive.exe が実行されるようにも設定します。

偽の secur32.dll は、OneDrive プロセスの 1 つに読み込まれると、オープン ソースの暗号通貨マイニング ソフトウェアをダウンロードし、正規の Windows プロセスに挿入します。

キャンペーンの詳細については、こちらの元のレポートをご覧ください。