LastPassは、脅威アクターが既知のブランドになりすまし、macOSユーザーに情報窃取型マルウェアを感染させることを目的とした、進行中の大規模なキャンペーンを警告しています。
感染チェーンの一環として、ハッカーはさまざまな企業のmacOSソフトウェアを提供していると主張する偽のGitHubリポジトリを利用し、検索エンジン最適化(SEO)を活用してリポジトリへのリンクが検索ページの上位に表示されるようにしています。
「LastPassの場合、偽のリポジトリは被害者候補をAtomic infostealerマルウェアをダウンロードするリポジトリへリダイレクトしていました」とLastPassは述べています。
LastPassは自社ブランドになりすました2つのGitHubサイトを特定しました。これらは9月16日にMicrosoft傘下のコード共有プラットフォーム上に投稿され、その後削除されました。
いずれも「modhopmduck476」というユーザーによって投稿され、「MacBookでLastPassをインストールできる」と主張するリンクが含まれていましたが、いずれも同じ悪意のあるページへリダイレクトされていました。
「MacBookでLastPass Premiumを提供する」と主張するページはmacprograms-pro[.]comへリダイレクトされ、ユーザーはターミナルウィンドウにコマンドをコピー&ペーストするよう指示されていました。
このコマンドはエンコードされたURLへのCURLリクエストを開始し、「Update」ペイロードがTempディレクトリにダウンロードされます。
このペイロードはAtomic macOS Stealer(AMOS)インフォスティーラーであり、2023年以降多数の攻撃で使用されています。8月にはCrowdStrikeが、SHAMOSと呼ばれるAMOSの亜種を配布する偽広告の増加を警告しました。
広告。スクロールして記事の続きをお読みください。
LastPassは、脅威アクターが金融機関、パスワードマネージャー、テクノロジー企業、AIツール、暗号通貨ウォレット、その他の企業になりすましていることを確認しています。
検知を回避するため、脅威アクターは複数のGitHubユーザー名を使って他の偽GitHubページを作成しており、ターゲット企業名とMac関連用語を組み合わせた類似の命名パターンが使われていました。
LastPassが観測したこのキャンペーンは少なくとも7月から継続しており、DerivのセキュリティリサーチャーDhiraj Mishraが警告したように、Homebrewユーザーが偽のGitHubリポジトリへ誘導する悪意のある広告の標的となっていました。
Mishra氏は、これらの攻撃がGoogle広告やGitHubに対するユーザーの信頼を悪用し、公式のHomebrewアプリケーションをインストールさせて、バックグラウンドで悪意のあるペイロードの実行を隠していたと指摘しています。
関連記事: TelegramがTorに匹敵する犯罪「フォーラム」の拠点に
関連記事: Apple、Netflix、Microsoftのサイトがテクニカルサポート詐欺のために「ハッキング」される
翻訳元: https://www.securityweek.com/widespread-infostealer-campaign-targeting-macos-users/