macOSを標的とした情報盗聴マルウェアは急速に進化し続けています。SentinelOneのセキュリティ研究者は最近、SHub Stealer ファミリーの新しいバリアント「Reaper」を発見しました。
このマルウェアは洗練された感染チェーンを使用して標準的なセキュリティ警告をバイパスし、偽の通信ツールインストーラーで被害者をだまします。
実行されると、正当なAppleおよびGoogleソフトウェアに偽装して、機密データを盗み出し、永続的なバックドアを確立します。
Reaperは最初に、WeChat と Miro の偽りのダウンロードページを通じて被害者をおびき寄せます。これらの悪意あるウェブサイトは Microsoft [.]co[.]com などのタイポスクワッティングドメインでホストされており、高度なアンチ分析技術を採用しています。
これらのサイトは訪問者のデバイスに関するテレメトリを収集し、仮想マシン、VPN、パスワードマネージャー、および暗号資産拡張機能をチェックします。
研究者がページコードを検査しようとすると、継続的なデバッガーループが発動します。分析を停止するために、偽のロシア語の「アクセスが拒否されました」というメッセージが表示されます。
Reaper は幅広い機密情報を標的とします。主要なウェブブラウザ、開発者設定ファイル、macOS キーチェーン、およびデスクトップ暗号資産ウォレットからデータを盗みます。
このマルウェアには、Atomic macOS Stealer (AMOS) と同様のファイル取得モジュールも含まれています。デスクトップフォルダとドキュメントフォルダからビジネスファイルを検索し、70MB のチャンクにアーカイブしてリモートアップロード用に準備します。
最後に、Reaper はコアアプリケーションファイルを置き換えることで、Exodus や Ledger などの暗号資産ウォレットをハイジャックしようとし、攻撃者が将来のトランザクションを傍受できるようにします。
1 回実行して自分自身を削除する多くの macOS 情報盗聴マルウェアとは異なり、Reaper バリアントは永続的なバックドアをインストールします。
正当な Google Software Update パスを模倣する隠されたディレクトリ構造を作成します。このマルウェアは、この偽りの Google ディレクトリ内に隠されたスクリプトを配置し、macOS LaunchAgent として登録します。
これにより、脅威アクターは現在のユーザーの権限で追加の悪意あるコードをサイレントダウンロードして実行できます。
これは、初期感染後、長期間にわたって危険で継続的なリモートコード実行機能を提供します。
翻訳元: https://cyberpress.org/fake-google-update-malware/
