仮想通貨を採掘するマシンに感染して、マイニングソフトのウォレットアドレスを書き換えて、マイニングの収益を完全に盗み出すマルウェア「Satori Coin Robber」が発見されました。Satori Coin Robberはすでにボットネットを構築しているのが確認され、感染に気づいていないPCの収益を奪い続けています。

Art of Steal: Satori Variant is Robbing ETH BitCoin by Replacing Wallet Address

http://blog.netlab.360.com/art-of-steal-satori-variant-is-robbing-eth-bitcoin-by-replacing-wallet-address-en/

New botnet infects cryptocurrency mining computers, replaces wallet address | Ars Technica

https://arstechnica.com/information-technology/2018/01/in-the-wild-malware-preys-on-computers-dedicated-to-mining-cryptocurrency/

Satori botnet successor targets Ethereum mining rigs | ZDNet

http://www.zdnet.com/article/satori-botnet-successor-targets-ethereum-mining-rigs/

2017年末にIoT端末に感染するマルウェア「Mirai」から派生した「Satori」がIoT機器に攻撃を仕掛けたことが話題になりました。このIoT端末攻撃マルウェアをベースに、仮想通貨マイニングの収益を根こそぎ奪い取るために作られたマルウェア「Satori Coin Robber」が発見されました。

Satori Coin Robberは、仮想通貨イーサリアムなどをマイニングするソフトウェア「Claymore Mining」を利用するPCに感染します。被害は主にWindowsマシンで確認されており、PCがClaymore Miningに感染すると、PCのETHアドレスなどの仮想通貨ウォレットアドレスが攻撃者のものに書き換えられてしまいます。ウォレットアドレスが書き換えられているのに気づかない限り、マイニングPC所有者は攻撃者のためにせっせとマイニングするはめになってしまうというわけです。



Claymore Miningのデフォルト設定ではポート「3333」がパスワードロックされていないことを悪用して侵入する模様。マイニングPCに感染したSatori Coin Robberは、はじめに仮想通貨のマイニング状況を監視したあと、rebootバッチファイルを更新してウォレットアドレスを書き換え、新しいウォレットアドレスとしてマシンを再起動させます。

被害状況を報告したNetlab 360によると、2018年1月16日時点でSatori Coin Robberはいぜんとして活動中であることが確認されたとのこと。直近2日間のハッシュレートは1606MH/sに達しており、24時間で0.1733ETH(記事作成時のレートで約2万円)分のイーサリアムをかすめ取っていることを明らかにしています。