TokyoBlackHatNews

theregister.com 5分で読了

恐れよReaper – macOSユーザーのパスワードとウォレットを盗むステーラー、その後バックドア化

セキュリティ

同じ攻撃でApple、Microsoft、Googleのすべての信頼されたドメインになりすましながら

新しいinfostealer亜種はApple、Microsoft、GoogleになりすましてmacOSユーザーをターゲットにし、その後被害者のパスワードマネージャーを検索して、すべての認証情報を盗み、MetaMaskやPhantomなどの暗号通貨ウォレットにアクセスします。

更新されたSHub stealer亜種はReaperと呼ばれ、SentinelOneのリサーチエンジニアであるPhil Stokesによると、月曜日のブログで攻撃を文書化しており、malwareを実行するために悪意のあるペイロードで事前入力されたmacOS Script Editorを使用しています。

しかし、以前のSHubバージョンやClickFixソーシャルエンジニアリング戦術に依存してユーザーをScriptEditorコマンドをAppleのTerminalコマンドラインインターフェイスに貼り付けるようにだます同様のmacOS stealer キャンペーンとは異なり、以前のSHubバージョンや同様のmacOS stealer キャンペーンが依存しているClickFixソーシャルエンジニアリング戦術とは異なり、ReaperはTerminalを完全に回避し、したがってAppleがTahoe 26.4に追加した防御を破ります。

攻撃は、Microsoftの URLタイポスクワッティングでユーザーの信頼を醸成するように設計されたドメインでホストされた、偽のWeChatおよびMiroインストーラーウェブサイトで始まります: mlcrosoft[.]co[.]com。

ユーザーがこれらのページにアクセスすると、隠されたJavaScriptがIPアドレス、位置情報、WebGLフィンガープリンティングデータ、仮想マシンまたはVPNのインジケーターを含む、システムとブラウザに関する大量の情報を収集します。被害者がロシアにいる場合、攻撃は停止します。

マシンが別の場所にあると仮定して、ユーザーが偽のツールインストーラーをクリックすると、ASCIIアートと偽の用語で厚く詰められた不正なリンク経由でAppleのScript Editorアプリを開き、悪意のあるコマンドをウィンドウの可視部分の下にはるか下に押しやります。

被害者がScript Editorで「実行」をクリックすると、隠されたコマンドが悪意のあるAppleScriptを実行し、AppleのXProtectRemediatorツールのセキュリティアップデートであると称するポップアップメッセージを表示します。ただしセキュリティツールを更新する代わりに、curlコマンドを呼び出してシェルスクリプトを静かにダウンロードし、被害者にログイン詳細を入力するよう要求します。これらは削除され、さまざまな認証情報をデコードするために使用されます。その後、偽のエラーメッセージが表示されます。

以前のSHubバージョンは、ユーザーのブラウザデータ、暗号通貨ウォレット、開発者関連の設定ファイル、macOS Keychain and iCloud アカウントデータ、およびTelegramセッションデータを収集しました。

Reaperはこのすべてを行い、さらに多くを行います。

ユーザーのDesktopおよびDocumentフォルダ内のビジネスまたは財務情報を含むファイルを検索するファイルグラバーが含まれています。そのアプローチはAtomic macOS Stealer (AMOS)に見られるドキュメント盗難機能に似ています。

スクリプトはExodus、Atomic Wallet、Ledger Wallet、Ledger Live、Trezor Suiteなど、複数のデスクトップ暗号通貨ツールも検索します。見つかった場合、継続的な資金盗難を保証するために、ウォレットをマルウェアで注入します。

その後、永続性を確保するために、Google Software Updateを模倣するように設計されたディレクトリ構造を作成することで、感染したデバイスにバックドアを作成します: ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/。

「LaunchAgentは対象スクリプトGoogleUpdateを60秒ごとに実行します」とStokesは説明します。「スクリプトはビーコンとして機能し、システムの詳細をC2の/api/bot/heartbeatエンドポイントに送信します。」

これにより、攻撃者はバックドアされたマシンでリモートコードを実行できることが保証されます。攻撃者が制御するサーバーが「code」ペイロードを送信した場合、スクリプトはそれをデコードして隠しファイルに書き込み、ファイルを削除する前にユーザーの権限でコードを実行します。

脅威ハンターは警告し、バックドアはマルウェアオペレーターに「初期侵害後にデータを盗む、または他の悪意のあるインストールにピボットするためのより多くの方法」を提供します。

唯一の例外は、バンドにもっとカウベルを追加するよう懇願することです。®


Logo

自分を養う手に噛みつく

翻訳元: https://www.theregister.com/security/2026/05/19/do-fear-the-reaper-stealer-swipes-macos-users-passwords-wallets-then-backdoors-them/5242258

ソース: theregister.com

関連記事

Shai-Huludのコピー品ワームが別のnpmパッケージに感染

NGINX Rift の攻撃者が公開サーバーを狙うのに時間を無駄にしない

ポーランドが職員にSignalを中止するよう指示、『安全』な国家開発代替手段の使用を推奨