無料OnlyFansアカウントを装うZIPファイルを使い、WindowsやmacOSにCRPx0マルウェアを感染させる攻撃が確認されました。暗号資産ウォレットのすり替え、データ窃取、ランサムウェア暗号化につながる恐れがあり、情シスは社用端末での不審ファイル実行や個人利用リスクに注意が必要です。
【サマリー】
- CRPx0は、無料OnlyFansアカウントを装ったZIPファイルから感染を狙うマルウェアキャンペーンです。
- 主な標的はWindowsとmacOSで、Linux向けの機能も開発中とみられています。
- 感染後は、暗号資産ウォレットアドレスのすり替え、環境情報の収集、データ窃取、ランサムウェアによる暗号化が行われる可能性があります。
- 攻撃は、
OnlyfansAccounts.zipやOnlyfans Accounts.lnkなど、無料アカウント情報に見せかけたファイルを使って利用者に実行させる手口です。 - 情シス部門は、社用端末での私的利用、不審なZIP・LNKファイルの実行、クリップボード監視型マルウェア、Python実行環境の悪用、外部送信の痕跡を確認する必要があります。
CRPx0とは
CRPx0は、Aryaka Threat Research Labsが分析した、ステルス性と永続化機能を備えたマルウェアキャンペーンです。
CRPx0はWindowsとmacOSを主な標的とし、Linux向け機能も開発中とみられています。攻撃の目的は単一ではなく、暗号資産の窃取、大規模なデータ窃取、ランサムウェアによる暗号化を組み合わせたものです。
特徴的なのは、入口として無料OnlyFansアカウントを装う点です。攻撃者は、無料で有料コンテンツへアクセスできるように見せかけ、利用者にZIPファイルをダウンロードさせます。ZIPファイル内には、アカウント情報のテキストファイルに見えるものやショートカットファイルが含まれ、利用者が実行するとバックグラウンドでマルウェアの導入が進みます。
CRPx0は、感染後すぐに目立つ被害を出すのではなく、まず環境情報を収集し、C2サーバーとの通信を確立します。その後、暗号資産ウォレットアドレスのすり替え、攻撃者が指定したデータの窃取、ランサムウェア暗号化へ段階的に進むとされています。
何が起きたか
無料OnlyFansアカウントを装った誘導を使い、CRPx0マルウェアを配布するキャンペーンが発生し
攻撃の初期段階では、利用者が無料OnlyFansアカウントを探す過程で、攻撃者が用意したOnlyfansAccounts.zipにたどり着く流れが想定されています。このZIPファイルには、Onlyfans Accounts.lnkというショートカットファイルが含まれています。
利用者がショートカットを開くと、一見するとアカウント情報が入ったテキストファイルを開くように見えます。表示される内容には、複数のOnlyFansアカウント情報のように見える文字列が含まれますが、裏側ではマルウェアのインストール処理が始まります。
感染後、CRPx0はC2サーバーと通信し、環境情報を収集します。さらに、必要に応じて自身を更新し、攻撃者の指示に従って次の処理を実行します。
この攻撃では、利用者が明らかに業務外の目的でファイルを取得している点も特徴です。そのため、社用端末での私的利用や、業務と関係のないファイル実行を許可している環境では、企業ネットワークに持ち込まれるリスクがあります。
原因
今回の攻撃は、システム脆弱性の悪用よりも、ソーシャルエンジニアリングを起点にしています。
攻撃者は、無料OnlyFansアカウントという誘い文句を使い、利用者にZIPファイルをダウンロードさせます。さらに、ZIP内のLNKファイルをアカウント情報に見せかけることで、利用者に実行させます。
LNKファイルはWindowsのショートカットファイルですが、実行時に任意のコマンドやスクリプトを呼び出せるため、マルウェア配布でよく悪用されます。今回のようにテキストファイルやアカウント一覧に見せかけることで、利用者は通常の文書を開いているつもりでも、裏側ではスクリプトやペイロードが実行される可能性があります。
また、CRPx0はPythonベースの処理も利用すると報告されています。攻撃者は環境に応じて追加ペイロードを取得し、Pythonインタープリターを使って暗号化処理などを実行する構造を持つとされています。
影響範囲
CRPx0は、WindowsとmacOSを主な対象としています。
感染した端末では、まず暗号資産窃取が行われる可能性があります。CRPx0はクリップボードを監視し、利用者が暗号資産ウォレットアドレスをコピーした場合、そのアドレスを攻撃者が管理するアドレスへ差し替えるとされています。
この手口では、利用者は正しいウォレットアドレスを貼り付けたつもりでも、実際には攻撃者のウォレットアドレスへ送金してしまう可能性があります。暗号資産の送金は取り消しが難しいため、被害に気づいた時点では資金を回収できないケースが多くなります。
次に、データ窃取が行われる可能性があります。窃取対象として、文書、画像やメディア、メール、開発・コード関連ファイル、設計・エンジニアリング関連ファイルなどが挙げられています。
最後に、ランサムウェアによる暗号化が行われる可能性があります。攻撃者は、C2から暗号化コマンドを送信し、暗号化用ペイロードをダウンロードさせたうえで、対象ファイルを.crpx0拡張子で暗号化します。暗号鍵はC2側へ送信され、被害者には英語、ロシア語、中国語の身代金要求文が残されると報じられています。
現在確認されている被害状況
CRPx0の攻撃者は独自のリークサイトを運営しているとされています。
記事公開時点で、攻撃者は38件の被害を主張しており、そのうち23件のリークが公開されていると報じられています。また、攻撃者は10,839テラバイトのデータを窃取したと主張しているとされています。
ただし、攻撃者による被害件数や窃取容量の主張は、脅迫や信用付けのために誇張されることがあります。そのため、数値そのものは慎重に扱う必要があります。一方で、CRPx0がデータ窃取とランサムウェアを組み合わせた二重恐喝型の性質を持つ点は、企業環境でも注意が必要です。
情報システム部門が確認すべきポイント
まず、社用端末で業務外のZIPファイルやLNKファイルが実行されていないかを確認してください。特に、OnlyfansAccounts.zip、Onlyfans Accounts.lnk、アカウント一覧を装うテキストファイル、見慣れないPythonスクリプトや.py、.pyzファイルの実行履歴は調査対象になります。
EDRやログ監視では、LNKファイルを起点にしたPowerShell、cmd、wscript、cscript、Python、curl、bitsadmin、rundll32などの起動を確認してください。通常業務では説明しにくいプロセス連鎖がある場合、感染の疑いがあります。
次に、クリップボード監視型マルウェアの挙動を確認してください。暗号資産を扱う端末では、ウォレットアドレスの貼り付け内容がコピー元と異なっていないか、送金前に確認する運用が重要です。企業として暗号資産を扱っていない場合でも、従業員の個人利用が社用端末で行われると、感染経路になり得ます。
ファイル暗号化の兆候も確認してください。短時間に大量のファイルが読み書きされる、.crpx0拡張子のファイルが作成される、デスクトップ壁紙が変更される、身代金要求文が作成されるといった挙動は、ランサムウェア段階へ進んでいる可能性があります。
また、外部送信の痕跡も重要です。CRPx0は、攻撃者がC2経由で窃取対象を選択すると報じられています。端末から未知の外部サーバーへ大量のデータが送信されていないか、プロキシログ、DNSログ、EDR、NDRで確認してください。
社用端末での私的利用リスク
今回の攻撃は、業務システムや企業メールを直接狙うものではなく、利用者の興味や行動を起点にしています。
無料アカウント、無料コンテンツ、クラックソフト、海賊版ツール、ゲームチート、成人向けコンテンツ、投資ツールなどを装うマルウェアは、社用端末の私的利用が許可されている環境で侵入しやすくなります。
特にリモートワーク環境では、社用端末と私用端末の利用境界が曖昧になりがちです。従業員が社用端末で業務外サイトにアクセスし、不審ファイルをダウンロードした場合、個人の問題にとどまらず、企業ネットワーク、クラウド認証情報、社内ファイルサーバーへ影響が及ぶ可能性があります。
情報システム部門では、社用端末での私的利用ルール、ダウンロード制限、LNKファイルやスクリプト実行制御、EDRの検知ポリシー、Webフィルタリングを確認する必要があります。
利用者へ周知すべき内容
利用者には、無料アカウントや無料コンテンツをうたうZIPファイルを開かないよう周知してください。
特に、ZIPファイル内にショートカットファイル、スクリプト、実行ファイルが含まれている場合は危険です。テキストファイルやアカウント一覧に見える名称であっても、実際にはマルウェアの起動処理になっている可能性があります。
また、業務端末では、業務に関係のないサイトからファイルをダウンロードしないことを徹底する必要があります。今回のような攻撃は、従業員が個人的にアクセスしたサイトやファイルから企業環境へ持ち込まれる可能性があります。
暗号資産を扱う利用者に対しては、ウォレットアドレスをコピー&ペーストした後、送金前に必ず貼り付け先のアドレスを確認するよう案内してください。クリップボードをすり替えるマルウェアでは、見た目の操作は通常通りでも、送金先だけが攻撃者のものに変わることがあります。








