出典: Africa Studio via Alamy Stock Photo
新たに特定されたmacOS 情報窃盗マルウェアは、盗聴ツールとバックドアマルウェアの両方の機能を備えており、Apple、Google、Microsoftに同時になりすまし多段階ソーシャルエンジニアリングキャンペーンを使用しています。SHub Reaper という盗聴ツールは、より広範なShubマルウェアの亜種であり、macOSマルウェアの新しいパラダイムを実証しています。
SentinelOneの報告によると、SHub Reaper は月曜日に詳細が明かされたレポートによれば、偽のWeChatおよびMiroインストーラーをソーシャルエンジニアリング餌として使用してユーザーに它をダウンロードさせています。実際に、偽のアプリケーションダウンロードの背後に隠れることは、攻撃者が情報窃盗マルウェアを隠す一般的な方法です。
「マルウェア感染は、MiroおよびWeChatインストーラーを提供する悪意のあるWebページから始まり、暗号資産ウォレットおよび一般的なパスワードマネージャーに関連する拡張機能を備えたブラウザを積極的に探します」とSentinelOneのmacOSおよびAI研究エンジニアであるPhil Stokes氏はメール経由でDark Readingに語っています。
ただし、SHub Reaper のなりすましを独特にしているのは、攻撃の各段階で感染チェーンがどのように衣装を変えるかです。ペイロードはタイポスクワット登録されたMicrosoftドメイン上でホストされ、Appleセキュリティアップデートの名目で実行され、偽のGoogle Software Updateディレクトリから永続化する可能性があります。これは「単一チェーン全体にわたる複数ブランドなりすまし」であり、「異常です」とStokes氏はDark Readingに語っています。
SHub Reaper: 二つの機能を持つマルウェア
SHub Reaper は、従来の 盗聴ツールの動作を逆転させ、認証情報窃盗、ウォレットハイジャック、ドキュメント流出などの典型的な盗聴機能と、永続的なバックドアアクセスを組み合わせています。これらの側面は通常、盗聴マルウェアには見られません。Stokes氏が指摘しています。
マルウェアはユーザーライブラリパス内に偽のGoogle Updateフレームワークをインストールし、Google Keystone形式の命名規則を使用してLaunchAgentを登録することでこれを実行します。ビーコンは60秒ごとにチェックインし、任意のコマンド実行をサポートし、実質的に情報窃盗感染を軽量なmacOSバックドアに変えます。彼が述べています。
「バックドアは盗難と侵害のためのもう1つのベクトルを追加します」とStokes氏はDark Readingに語っています。「初期のinfostealer族は明らかに略奪的で、永続性について気にすることさえしませんでした」。一方、SHub Reaper は「多機能マルウェアであり、多くの最近の族の職人技をブレンドしています」と彼は説明しています。
パラダイムを変えるサイバー実行チェーン
SentinelOneによると、マルウェアは被害者のマシン上でmacOS盗聴ツールが通常どのように実行されるかの動作シフトも表しています。標準的な 「ClickFix」ソーシャルエンジニアリングに依存するのではなく、被害者は端末にコマンドを貼り付けるようにだまされます。「このバリアントはターミナルを完全にバイパスし、それらの攻撃フロー用のAppleのTahoe 26.4緩和策を回避する配信メカニズムを使用します」とStokes氏は述べています。
彼はAppleが最近導入したTahoe 26.4 OSの保護を指しており、ターミナル駆動の ソーシャルエンジニアリング攻撃を削減することを目的としています ClickFixなどです。ただし、SHub Reaper はこれらの緩和策を回避し、実行を信頼されたApple ネイティブスクリプトワークフローに移動させ、applescript:// URLスキームを使用してmacOS Script Editorを既に読み込まれた悪意のあるAppleScriptで開きます。
被害者がターミナルにコマンドを手動で貼り付けるための標準的なソーシャルエンジニアリング戦術から離れたこのシフトは、「macOS infostealers における注目すべき進化」です。Sectigo のシニアフェローであるJason Soroko氏はメール経由でDark Readingに語ります。「攻撃者は代わりに applescript:// URLスキームを利用してmacOS Script Editorを悪意のあるペイロードで自動的に読み込み、実質的にこれらの新しいmacOS緩和策を回避します」と彼は言います。
このシフトの理由は、攻撃者が「実行をシステムプロセスまたはScript Editorやターミナルなどのユーザーがもたらしたプロセスの実行に限定できるようになったため、」Stokes氏は投稿で説明しています。「これにより、攻撃者は外部のバイナリをファイルシステムに導入することなく実行でき、 Apple独自のXProtectやそれに類した第三者のツールなどのファイルスキャン検出ツールをバイパスしやすくなります。」
新しいサイバー攻撃の行動は新しい防御を必要とします
情報窃盗ツールは、攻撃者がエンタープライズ認証情報を侵害できる最速の方法の1つであり、その後、さらなる悪意のある活動を実施するために使用できます。実際に、WhiteIntelの研究により3月に、攻撃者が感染したラップトップから盗まれた認証情報をアンダーグラウンドマーケットプレイスに移動するのに 48時間しかかかることが明らかになった場合、攻撃者による使用が着実に増加している理由となる可能性があります。Google の Mandiant による 2025 M-Trends レポートによれば。
macOSユーザーにとって、SHub Reaper が使用する ソーシャルエンジニアリング戦術を識別することは、感染を防ぐ最も簡単な方法です。SentinelOneによれば、特にユーザーは感染チェーンがどのように複数の段階にわたって馴染みのあるブランドと信頼されたソフトウェアのキューをレイアウトするかに注目する必要があります。Stokes氏がレポートで指摘しています。
エンタープライズディフェンダーの場合、SHub Reaper の ClickFix から AppleScript および他の「land を生活する」(LotL) 技術への移動は、新しい検出面を生成し、これらの感染に対する典型的なターミナル中心の検出をほぼ無効にしています。
代わりに、SentinelOne は、セキュリティチームが SHub Reaper感染を検出するために環境で以下を監視することを推奨しています: Script Editor(Script Editor.app)の予期しない呼び出し。osascriptが curl またはシェルインタープリターを生成します。ブラウザから AppleScript への実行チェーン。および異常な URL ハンドラーから発信されるユーザー駆動型 AppleScript 実行。
