- SentinelOneが新しいSHub macOS情報窃取マルウェア亜種「Reaper」を発見、タイポスクワッティングされたWeChatおよびMiroドメイン経由で拡散
- マルウェアは偽のAppleおよびGoogleアップデートコンポーネントで偽装し、永続性とバックドアアクセスを確立
- Reaperはブラウザの認証情報、暗号ウォレット、パスワードマネージャー、機密文書をターゲットにしており、ロシア語話者の操作者がCISシステムを回避する兆候がある
SentinelOneのサイバーセキュリティ研究者は、悪名高いSHub macOS情報窃取マルウェアの新しい亜種「Reaper」を発見しました。
新しいレポートでSentinelOneは、WeChat(人気の中国メッセージングおよびソーシャルメディアアプリ)およびMiro(オンラインビジュアルコラボレーションおよびホワイトボードプラットフォーム)になりすましたタイポスクワッティングドメインを観察したと述べています。
これらのアプリをインストールしようとしているmacOSユーザーは、攻撃のあらゆる段階でマルウェアを正当に見せるために偽装を絶えず変更する感染チェーンをトリガーします。スクリプト起動後、AppleのXProtectRemediatorセキュリティツールを参照する偽のアップデートメッセージを表示し、システムに感染した後、正当なGoogleソフトウェアアップデートコンポーネントのように見えるファイルとフォルダを作成して永続性を確立します。
ロシア系について
研究者によると、偽の「GoogleUpdate」ディレクトリにバックドアを格納し、「com.google.keystone.agent.plist」という名前のLaunchAgentを登録するとのことです。
このキャンペーンの目的は、認証情報、機密ファイル、および暗号化通貨ウォレットを盗むことです。SentinelOneは攻撃を特定のグループまたは脅威アクターに帰属させていませんが、操作者がロシア語を話している可能性があることを示唆する複数のヒント(または少なくともソビエト連邦の旧構成国の標的を回避しようとしている)があると述べています。
マルウェアは、感染したシステムがロシア語入力ソースを使用しているかどうかを確認し、CIS(独立国家共同体)地域のシステムを検出した場合は終了します。SentinelOneはまた、マルウェアの分析対策を回避しようとした場合、偽のWebサイトがロシア語の「アクセスが拒否されました」メッセージを表示したと述べています。
Reaper亜種は主にWebブラウザ、暗号化通貨ウォレット、および財務またはビジネス関連のデータを含む可能性のあるアプリケーションをターゲットにしており、ブラウザの認証情報、暗号ウォレットデータ、ログインキーチェーン、Telegramセッションデータ、およびDesktopおよびDocumentsフォルダからのドキュメントを盗みます。
また、1Password、Bitwarden、LastPassなどのパスワードマネージャーにリンクされたブラウザ拡張機能、およびMetaMaskやPhantomなどの暗号化通貨ウォレットも検索します。
