Microsoft Officeに見せかけた仮想通貨マルウェアが拡散｜偽ファイルに注意

人気のオープンソースソフトウェア配布サイトであるSourceForgeを悪用し、仮想通貨ユーザーを狙ったマルウェアが拡散されたことがセキュリティ企業カスペルスキーによって報告されました。

今回の攻撃では偽のMicrosoft Officeアドインを装ったファイルがSourceForge上に投稿され、正規のOfficeツールを思わせる説明文もついていました。さらに、ロシアの検索エンジンYandexが誤ってこの偽ページをインデックスしたことにより、検索結果から誤ってダウンロードしてしまうケースが発生しました。

この攻撃の被害は2025年第1四半期の時点で4600台以上のコンピューターに及び、そのうち90％がロシア国内に集中しているとのことです。問題のファイルは「vinstaller.zip」という名称で約7MBのZIP形式として配布され、展開すると700MB規模の偽インストーラーが含まれていました。

中には暗号資産のマイニングを行うマルウェアと「ClipBanker」と呼ばれるトロイの木馬が仕込まれており、ClipBankerはクリップボード内にコピーされた仮想通貨ウォレットのアドレスを攻撃者のアドレスにすり替える機能を持っています。

これにより、ユーザーが知らないうちに送金先が攻撃者のウォレットに変わってしまう危険性があります。加えて、Telegram APIを介して感染端末の情報を攻撃者側に送信する仕組みも備わっているため、一度感染するとさらなる被害につながる恐れが指摘されています。

SourceForge側はすでに問題のあったページを削除したとされていますが、信頼性の高いと考えられていたプラットフォームでも悪用される可能性があることが改めて示された形となり、より一層の注意が必要となっています。