Svmuuニュース マイクロソフト 同社の脅威インテリジェンスチームは、2026年2月から活動しているWindows向け暗号化型トロイの木馬の脅威を公式に公表した。このマルウェアは、「ワーム型拡散+クリップボードハイジャック+Torによる匿名通信」を組み合わせて、デジタル資産のユーザーを標的とした攻撃を行っている。マイクロソフト 分析によると、このマルウェアは偽装されたショートカット(.lnk)ファイルを介してリムーバブルストレージデバイス間で拡散し、WScriptとActiveXを利用してスクリプトロジックを実行することで、ローカルのTorクライアントを自動的に展開し、127.0.0.1:9050のプロキシ経由で接続する。onion隠しサービスC2サーバーを介して、匿名での制御とデータの送信を実現している。攻撃チェーンには、クリップボードの内容の継続的な監視、ニーモニックフレーズや秘密鍵の窃取、スクリーンショットのアップロードといった複数の悪意ある機能が含まれており、ユーザーが暗号資産のアドレスをコピーした際に「アドレス置換」を行い、ターゲットのアドレスを攻撃者が制御するウォレットアドレスに置き換えることで、資金の乗っ取りを実現する。 さらに、このトロイの木馬はワームによる拡散能力も備えており、USBメモリなどのデバイスに自動的に自身を複製し、スケジュールタスクを作成して永続的な実行を実現するほか、基本的な逆解析回避能力(デバッガーを回避するためにタスクマネージャーを監視する)も有している。 検知の面では、マイクロソフトはこれを「Trojan:Win32/CryptoBandits」シリーズとして識別しており、行動特性(WScriptの異常な呼び出し、localhost:9050へのプロキシトラフィック、PowerShellによるスクリーンショット取得など)に基づいて遮断を行っています。セキュリティ研究者は、スクリプトの実行パスに対する保護と、ローカルプロキシの異常トラフィックの監視に重点を置くよう推奨しています。