新たなAtomic macOS Stealer(AMOS)キャンペーンが、マルウェアを正規アプリの「クラック版」と偽装してmacOSユーザーを標的にしていると、Trend Microの研究者が警告しています。
このキャンペーンは、サイバー犯罪者がAppleの最近のセキュリティ強化を突破するために設計されており、「重要な戦術的適応」を示していると研究者は指摘しています。
「macOS Sequoiaの強化されたGatekeeper保護は従来の.dmgベースの感染を効果的にブロックしましたが、脅威アクターはすぐにターミナルベースのインストール手法へと切り替え、これがセキュリティ制御を回避する上でより効果的であることが判明しました」と彼らは述べています。
被害者はソーシャルエンジニアリング手法によってインフォスティーラーをインストールするよう誘導されます。具体的には、クラック版アプリを装った悪意のある.dmgインストーラーをダウンロードさせられるか、または偽のCAPTCHA手法のように、macOSのターミナルにコマンドをコピー&ペーストするよう指示されます。
インストールされると、AMOSは永続性を確立し、被害者のシステムから機密データを窃取します。これには認証情報、ブラウザデータ、暗号通貨ウォレット、Telegramチャット、VPNプロファイル、キーチェーン項目、Apple Notes、一般的なフォルダ内のファイルなどが含まれます。
AMOSの感染チェーンと配布方法
Trend Microのレポート(9月4日公開)によると、攻撃者はクラックソフトウェアのダウンロードを通じてシステムへの初期アクセスを試みていることが観察されました。
影響を受けたユーザーは、haxmac[.]ccというウェブサイトを複数回訪問していました。このURLはmacOS向けのクラックソフトウェアを複数ホストしています。
![haxmac[.]cc website, which hosts “cracked” software for macOS. Source: Trend Micro](https://i0.wp.com/assets.infosecurity-magazine.com/content/span/767c2bc2-d43f-4040-a215-ef87f7e3fc76.png?w=640&quality=80&ssl=1)
分析されたケースでは、ユーザーは特に「CleanMyMac」を検索して自分のマシンにダウンロードしていました。これはMac App Storeからダウンロードできる正規のプログラムです。
「しかし、これらのケースで見られるように、信頼できないソースからプログラムをダウンロードすると、クラック版プログラムにマルウェアがバンドルされていたり、脅威アクターによってトロイ化されている可能性があるため、マシンや組織がリスクにさらされます」と研究者は指摘しています。
クラックソフトウェアをダウンロードした後、被害者はAMOSのランディングページにリダイレクトされ、「Download for MacOS」をクリックするよう促されるか、Apple Terminalに悪意のあるコマンドをコピー&ペーストするよう指示されます。
このページはOSフィンガープリントを行い、訪問者がWindowsかMacOSを使用しているかを判別してから、それぞれに対応したペイロードページへリダイレクトするようです。
複数の異なるドメインがリダイレクターとして機能していることが観察されており、リダイレクト先は検知回避のために訪問ごとに変更されます。ただし、ページ上の指示内容は同一です。
さらに、脅威アクターはダウンロード用コマンドのドメインやURLを頻繁にローテーションしており、これは静的なURLベースの検出やテイクダウンを回避するためと考えられます。
「その結果、これらのドメインやURLは時間とともに変化すると予想されます」と研究者は述べています。
これらのいずれのアクションも、悪意のあるインストールスクリプトの実行につながります。このスクリプトはAppleScriptファイル「update」を一時ディレクトリにダウンロードします。
スクリプト「com.finder.helper.plist」ファイルは、MacOSのLaunchDaemonを設定して「. agent」スクリプトを継続的に実行させます。これにより、ログイン中のユーザーを検出し、隠しバイナリを無限ループで実行します。
バイナリファイルは、現在ログインしているユーザー名(rootを除く)を取得することで永続性を確立します。
スクリプトが実行されると、侵害されたシステムから機密データがコピーされます。
研究者によると、AMOSによって盗まれる情報の種類は、標的となった個人だけでなく企業にとっても重大な二次的リスクをもたらします。これにはクレデンシャルスタッフィング、金銭的窃盗、さらなる企業システムへの侵入などが含まれます。
研究者は、組織に対し、このキャンペーンで使われている手法から守るため、OS標準の保護機能だけに頼らない多層防御戦略の導入を強く推奨しています。
画像クレジット:IgorGolovniov / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/macos-stealer-cracked-apps-bypass/