ビットコイン関連ドメインの登録数は、暗号通貨の相場に応じて増減する

Share with your network!
Proofpoint Staff

概要

Proofpointの研究者は、今年の初めにビットコイン関連のドメインを10万個以上発見しました。これらのドメインの大半は悪意を持って登録されたものと考えられており、タイポスクワッティング、ソーシャルエンジニアリング、マルウェア配布などに使用される可能性があります。また、ビットコインの相場が上昇すると、疑わしいドメインの登録数も増えることがわかりました。

ビットコイン関連のドメイン

Proofpointの研究者は、2018年1月12日時点で102,000を超える「ビットコイン関連」ドメインを発見しました。Proofpointではビットコイン関連ドメインを、ドメイン名に「bitcoin」という単語、またはそのバリエーションを含むドメインと定義しています。「bitcoin」のバリエーションとしては、以下のような様々なタイポスクワッティング技法が含まれます。

 

  • 文字 "o"(オー)が数字の0(ゼロ)に置き換えられている"bitc0ins.com"のように、類似文字による文字の置換を含むホモグリフ攻撃。私たちの分析では、このカテゴリに属する約50のドメインが特定されました。
  • ドメイン内の文字をキーボードの近くの文字に置き換えるなどの一般的なタイポグラフィのエラーは、分析されたドメインの95%以上を占めていました。このような例の1つは、「bitcoim.com」です。ここで、「n」はキーボード上の隣の「m」で置き換えられます。他の一般的なタイプミスには、「biitcoin.com」のように文字を2回繰り返すこと、「btcoin.com」のように「i」を省略した文字を省略することなどがあります。
  • Unicodeのインターネットホスト名をASCII文字で表現する技術であるPunycodeを使ったなりすまし。例えば、ドメイン "xn-bicoin-j17b [.] com"は、"bitcoin"に関連しているように見えますが、Unicodeに変換すると、実際には "bitcoin [.] com"と表示されます。また"xn-9naa4azkq66k5ba2d[.]com"は明らかにビットコインとは無関係ですが、Unicodeでは "BITCOIN[.]com"と表示されます。私たちの分析では、200以上のドメインが検出されました。

 

私たちのデータセットのほとんどのドメインには「bitcoin」という単語が含まれており、他の単語との組み合わせの中には、「bitcoinpay[.]com」や「bitcoinbank[.]com」などの無害な例も含まれています。私たちは、98,000個以上のドメインがこの種のドメインであることを発見しました。元ドメインを使ってさまざまな攻撃を実行するために「bitcoin」と他の単語とを組み合わせることは、ソーシャルエンジニアリングの一般的な形態です。

 

私たちの分析により、同じユーザーによって登録された多数のドメインも検出されました。ビットコイン関連の300個以上のドメインが同じユーザーによって登録されており、少なくとも600人のユーザーが各々10個以上のビットコイン関連ドメインを登録しています。これは必ずしもドメイン所有者が悪意を持っていることを意味するわけではありませんが、暗号通貨への関心の高まりを反映しています。

 

疑わしいドメイン

Proofpointは、サンプル中の30,000個を超えるドメインが疑わしいと判断しました。これは全体の約30%です。Proofpointの研究者は、WHOIS情報やサンドボックス分析など、ドメインが悪意のあるものであるかどうかを判断するために多数の基準を使っています。そのようなドメインの一つ、instantbitcoinbuy[.]comを分析すると、すぐにその理由が明らかになります。ユーザーがMacのSafariブラウザーを使用してこのWebサイトにアクセスすると、Adobe Flash Playerのアップデートをダウンロードするように求められます。

Figure 1

図1:Macで不審なビットコイン関連ドメインにアクセスする

 

ポップアップダイアログは、ユーザーのAdobe Flash Playerが古くなっていることを示す一般的な通知ダイアログと似ています。正規のアップデートを促すサイトでSafariが表示する実際のポップアップメッセージとこれを比較してください:

Figure 2

図2:正規のSafariのポップアップメッセージ

2つのダイアログの内容は似ていますが、疑わしいドメインのポップアップのいずれかのボタンをクリックすると、実際にはマルウェアである「Adobe Flash Update.dmg」というファイルがダウンロードされます。

Figure 3

図3:悪意のあるAdobe Flash Playerのポップアップ

 

また、ユーザーのブラウザーの上部に警告メッセージが表示されます。このメッセージはブラウザーの一部ではなく、この通知の最後のリンクも同じマルウェアファイルをダウンロードします。

Figure 4

図4:悪意のあるAdobe Flash Playerの警告

ユーザーが別のブラウザーでinstantbitcoinbuy[.]comにアクセスすると、別のサイトにリダイレクトされます。これは、Chromeでリダイレクトを行った例です。

Figure 5

図5:Chromeで同じサイトにアクセスする

Chromeで同じサイトにアクセスすると、ユーザーにプラグイン拡張機能のインストールを促すメッセージが表示されますが、このソフトウェアはユーザーがアクセスするWebサイトのデータすべてを読み込んで変更する権限を要求します。さらに、ユーザーが行うすべての検索は、「ユーザーに安全なブラウジングエクスペリエンスを提供し、悪意のあるWebサイトやフィッシング攻撃から保護する」と主張する偽のインターネット検索エンジン「search[.]securysearch[.]com」(「securysearch」の「it」が無いことに注意してください)に誘導します。しかしこの拡張機能は、ユーザーのブラウザーオプションを変更し、個人情報を含むブラウジング活動を記録します。私たちは最近登録されたドメイン500件と2017年の最後に登録された100件を分析し、内部データに基づいて11件の悪意を持つドメインを特定しました。これらはProofpointが特定した悪意のあるドメインですが、可能性のある脅威のすべてを示すものではありません。

ビットコイン相場と疑わしいドメインの数の関係

不審なドメイン登録の数と2017年のビットコイン相場の推移を比較すると、月間の登録ドメイン数とその月のビットコインの価格との間に強い相関があることがわかりました。

 Figure 6

図6:ビットコイン相場(灰色)とビットコイン関連のドメイン登録数(青)と疑わしいドメイン登録数(オレンジ)

図6に示すように、ビットコインの相場に応じて、不審なドメイン登録数も増減しています。疑わしいドメイン登録の増加はビットコイン関連のドメイン登録よりも全体的に速くなっています。注目すべきは、登録されたドメインの数がその月のビットコインの米ドルの価格とほぼ1対1の比率を維持していることです(このグラフでY軸が1つだけであることに注目してください)。ビットコインの価格が飛躍的に上昇したのと同様、ドメイン数も2017年末に急増しました。

結論

脅威アクターは、トレンドや人々の興味のありかを利用してソーシャルエンジニアリングの手法を改善し続けています。特に暗号通貨は、犯罪者に「お金に追従する」という新たな戦略を提供しました。今回のケースでは、さまざまな悪意のある目的に使用できるビットコイン関連ドメインを10万個以上まとめて準備しています。ビットコインの相場はここ数ヶ月で劇的に低下しましたが、暗号通貨は依然として脅威アクターの主要な選択肢であり、このブロックチェーンベースの技術は無くなりません。私たちは引き続き、これらのトレンドを監視して行きます。

Indicators of Compromise (IOCs)

IOC

IOC Type

Description

instantbitcoinbuy[.]com

URL

Example URL used in a Bitcoin lure to deliver malware