最近発見されたSHub macOS情報盗聴マルウェアの新しいバリアント「Reaper」は、より巧妙な配信、強化されたデータ盗聴、および正規のGoogleソフトウェアアップデートに偽装した永続化メカニズムにより、その機能を拡張しています。
Reaperバリアントは、特にWeChatおよびMiroのダウンロードに偽装して、SHubの偽のアプリケーションインストーラーの使用を継続しています。
しかし、その感染チェーンは、各段階で偽装を切り替えることで際立っています。被害者は、Appleセキュリティアップデートと思われるものを実行する前に、Microsoft [.]co[.]comなどのタイポスクワッティングドメインに初めに到達する可能性があります。
手動のターミナル入力を必要とする従来の「ClickFix」戦術に依存する代わりに、Reaperはapplescript:// URLスキームを活用しています。
SentinelOneのセキュリティ研究者はレポートしていますが、この進化は、macOSを標的としたマルウェアが検出を回避するために、階層化されたソーシャルエンジニアリングと無ファイル実行技術を採用しているより広い傾向を反映しています。
この手法は、事前に読み込まれた悪意のあるスクリプトを使用してmacOS Script Editorを自動的に開きます。表示されるコンテンツは、良性のテキストとASCIIアートで詰め込まれており、実際のペイロードはスクロール下に隠されています。
実行されると、スクリプトは偽のXProtectアップデートメッセージを表示しながら、curlとzshを介してリモートシェルスクリプトをフェッチして実行するようにBase64デコードされたコマンドを静かに実行します。
Reaperには、特定の地域のシステムへの感染を避けるための組み込みチェックが含まれています。macOSの入力設定をクエリし、ロシア語インジケーターが検出された場合は終了し、「cis_blocked」シグナルをコマンド・アンド・コントロール(C2)サーバーに送信します。
- IPアドレスと地理的位置情報の追跡。
- WebGLフィンガープリンティング。
- VPNまたは仮想マシンの検出。
- パスワードマネージャーと暗号ウォレットを含むブラウザ拡張機能の列挙。
収集されたデータはTelegramボットを経由して流出します。これらのサイトはまた、開発者ツールのブロック、コンソール機能のオーバーライド、無限デバッガループのトリガーなどのアンチ分析防御をデプロイします。
偽のGoogleアップデートが悪用される
実行されると、AppleScriptはシステムリクエストという名目でmacOSパスワードの入力を促します。認証情報は収集され、Keychain エントリとブラウザに保存されたシークレットを含む機密データにアクセスするために使用されます。
Reaperは幅広いアプリケーションを対象としています:
- ブラウザ:Chrome、Safari、Firefox、Edge、Brave、Opera、Vivaldi、Arc、Orion。
- ウォレット:Exodus、Atomic、Ledger Live、Electrum、Trezor Suite。
- メッセージング:Telegramセッションデータ。
新しい追加機能は、AMOS形式のFilegrabberモジュールです。デスクトップとドキュメントフォルダーをスキャンして、.docx、.xlsx、.json、.wallet、.rdpなどの貴重なファイルを探し、最大150MBのデータをステージングします。
アーカイブがサイズ制限を超える場合、HTTPリクエストを介してステージされた流出のために、データを70MBのチャンクに分割します。
データ盗難を超えて、Reaperは暗号通貨ウォレットに積極的に干渉します。コアアプリケーションファイル(例:app.asar)をC2サーバーからダウンロードされたトロイアン化されたバージョンに置き換えます。
マルウェアは、xattr -crとアドホック署名を使用してmacOS Gatekeeperの保護をバイパスし、ウォレットアクティビティの継続的なインターセプトを可能にします。
Reaperバリアントの主な改善点は、その永続化技術です。マルウェアは、Googleのアップデートフレームワークを模倣するディレクトリを作成します:
~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/
GoogleUpdateという名前の悪意のあるスクリプトをドロップし、LaunchAgentファイルcom.google.keystone.agent.plistを使用して登録します。このLaunchAgentは60秒ごとに実行され、C2サーバーへのビーコンとして機能します。
サーバーが指示で応答した場合、マルウェアはそれらを動的に実行し、リモートコード実行と長期的なアクセスを可能にします。これにより、感染したシステムが効果的に永続的なバックドアに変わります。
対策
ReaperのAppleScriptなどのネイティブmacOSツールおよびScript Editorへの依存は、XProtectなどの従来のファイルベースの検出システムを回避することを可能にします。動作検出が重要になります。
防御者は以下を監視する必要があります:
- 予期しないScript Editor(osascript)アクティビティ。
- スクリプト実行後の疑わしい送信接続。
- 信頼できるベンダーネームスペース内のLaunchAgentの作成。
- ウォレットアプリケーションファイルへの不正な変更。
Reaperバリアントは、macOSマルウェアが単純な情報盗聴マルウェアから永続的で多機能の脅威へどのように進化しているかを強調しています。
ソーシャルエンジニアリング、ファイルレス実行、および信頼できるブランド詐称を組み合わせることにより、攻撃者はユーザーとセキュリティツールの両方を回避する可能性を大幅に増加させます。
侵害の指標
ネットワーク通信
| hebsbsbzjsjshduxbs[.]xyz | プライマリC2 |
| hxxps[://]hebsbsbzjsjshduxbs[.]xyz/api/debug/event | C2エンドポイント |
| hxxps[://]hebsbsbzjsjshduxbs[.]xyz/api/bot/heartbeat | C2エンドポイント |
| hxxps[://]hebsbsbzjsjshduxbs[.]xyz/gate | C2エンドポイント |
| qq-0732gwh22[.]com | 偽のWeChat Lureドメイン |
| mlcrosoft[.]co[.]com | 偽のWeChat Lureドメイン |
| mlroweb[.]com | 偽のMiro Lureドメイン |
ファイルシステムパス
| ファイルパス | 目的 |
| ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/GoogleUpdate | バックドアバイナリ |
| ~/Library/LaunchAgents/com.google.keystone.agent.plist | 永続化メカニズム |
| /tmp/shub_log.zip | ステージされた流出アーカイブ |
| /tmp/shub_split.sh | アーカイブ分割ユーティリティ |
| /tmp/shub_mzip_*.zip | セグメント化されたアーカイブチャンク |
| /tmp/.c.sh | 一時的なバックドア実行スクリプト |
| /tmp/*_asar.zip | ダウンロードされたウォレットペイロード、例えば、exodus_asar.zip、ledger_asar.zip |
静的文字列および識別子
| ビルドID | 6552824c59ddacb134073f24a4bd4724514a938a9dc59f1733503642faed3bd3 |
| ビルド名 | Reaper |
| ハードコード化されたビルドハッシュ | c917fcf8314228862571f80c9e4a871e |
注: IPアドレスとドメインは、意図的に無力化されています(例:[.])誤った解決またはハイパーリンクを防ぐため。MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンスプラットフォーム内のみで再開してください。
翻訳元: https://gbhackers.com/fake-google-update-abused/
