最新のSHub macOSインフォスティーラーバリアントは、ターミナルベースのClickFixタクティクスを放棄してAppleScript実行を採用し、偽のApple、Google、Microsoftブランディングを使用して認証情報、暗号ウォレット、機密ユーザーデータを盗む。
新たに開示されたmacOSインフォスティーラーキャンペーンは、テク業界の大手企業への信頼を悪用して防御をすり抜けている。
SentinelOneの研究者は、SHubマルウェアファミリーの新しいバリアント「Reaper」についての詳細を明らかにしました。これはMacユーザーをターゲットとした単一の攻撃チェーンの異なる段階でApple、Google、Microsoftになりすまします。SHubスティーラーファミリーは2年前に特定され、以前は偽のインストーラーとClickFixスタイルのソーシャルエンジニアリングに依存したバリアントを使用していました。多くの場合、被害者にターミナルにコマンドを貼り付けるよう促していました。
Reaperは実行をAppleのScript Editorに移すことで戦術を変え、Appleが最近導入したターミナルベースの攻撃を制抑えるための保護をすり抜けます。しかし、最終的な目標は依然として認証情報盗難、ウォレット侵害、および永続的なアクセスです。
「SHub Reaperバリアントは、被害者が手動でターミナルにコマンドを貼り付ける必要がある標準的なソーシャルエンジニアリングタクティクスから移行することで、macOSインフォスティーラーに注目すべき進化をもたらしています」とSectigo上級フェローのJason Sorokoは述べています。「このアプローチは感染の技術的障壁を低下させ、純粋にユーザーエラーに依存するのではなく、ネイティブアプリケーションハンドラーの悪用に向かった戦略的な転換を示しています。」
偽のAppleアップデートが隠されたAppleScriptを実行
攻撃は、ユーザーを偽のAppleセキュリティアラートを表示する悪意のあるウェブサイトに引き込むことから始まります。その後、ページはユーザーにターミナルではなくScript Editorを通じて修復を実行するよう指示することでClickFixワークフローを開始します。
以前のようにユーザーにシェルコマンドをコピーして貼り付けさせるのではなく、Reaperはapplescript:// URIハンドラーを悪用してScript Editor内に悪意のあるAppleScriptを事前入力します。その後、被害者はClickFixを通じてソーシャルエンジニアリングされ、自分自身でスクリプトを実行させられます。
つまり、被害者は依然として自分たちでマルウェアを実行しているのですが、もはや見ることができません。
SentinelOneの研究者は、マルウェアが実行を継続する前にいくつかの環境およびアンチ分析チェックを実行することも指摘しました。一度アクティブになると、マルウェアは追加のペイロードをデプロイし、正当なベンダーファイルを装ったLaunchAgentsを通じて永続性を確立します。
「ディフェンダーはmacOS検出をファイルシグネチャから動作に移行する必要があります。Reaperは正当なAppleツールを通じて実行され、スキャナーが検出する明らかな悪意のあるアプリをドロップしないからです」とBlack Duckのソリューション管理上級ディレクターCollin Hogue-Spearsは述べています。「Script Editor、osascript、およびLaunchAgentはすべて正当なソフトウェアです。」
マルチブランド詐欺
研究者は、攻撃チェーン全体を通じて複数のテクノロジー企業に関連するブランディングを使用するマルウェアを観察しました。Appleテーマのセキュリティ警告は被害者を実行開始に誘い込み、Googleに関連するインターフェースは後の段階での正当性を維持するのに役立ちます。一方、Microsoftをテーマにしたドメインとインフラストラクチャは操作の他の場所で使用されています。
「Reaperは偽のWeChat と Miro インストーラーを誘い文句として使用していますが、目立つのは感染チェーンが各段階でそのカモフラージュを変える方法です」と研究者はブログポストで述べています。「ペイロードは、タイポスクワットされたMicrosoftドメインでホストされ、Appleセキュリティアップデートの装いで実行され、偽のGoogle Software Updateディレクトリから永続化される可能性があります。」
実行が成功すると、Reaperは機密ユーザーデータの収集を開始します。SentinelOneはマルウェアがブラウザ認証情報、パスワードマネージャー、Keychainデータ、MetaMaskやPhantomなどの暗号ウォレット、メッセージングアプリケーション、およびユーザードキュメントをターゲットにしていると述べています。
ターミナル貼り付けのブロックを超えた保護
SHub Reaperキャンペーンの従来のターミナル中心の感染フローの完全な放棄は、ターミナル貼り付け悪用を取り締まるためのAppleの最近の取り組みと関連しているようです。
macOS Tahoe 26.4では、Appleはユーザーが潜在的に危険なコマンドをターミナルに貼り付けようとするときに警告を表示する保護を導入しました。ClickFixスタイルの攻撃で広く悪用されているソーシャルエンジニアリング手法を直接ターゲットにしています。
「これはAppleのセキュリティ障害ではありません」とHogue-spearsは述べています。「これはAppleの修正が意図した通りに機能していることです。修正は1つのテクニックのコストを引き上げました。そのため、チームは別のテクニックに切り替えました。」Appleはまだ、CSOのコメント要求に応答していません。
SentinelOneの研究者は、ディフェンダーが異常なScript Editorアクティビティを監視し、「osascript」またはAppleScriptに関連するプロセスが予期しないプロセスを生成するか、アウトバウンドネットワーク接続を開始する場所を調査することを推奨しています。彼らはまた、正当なApple、Google、またはMicrosoftコンポーネントを装った疑わしいLaunchAgent永続化メカニズムを監視するよう組織にアドバイスしました。
さらに、Sorokoはネットワークベースの保護を提案しました。「セキュリティチームはタイポスクワットされたドメインをインターセプトするための厳格なウェブフィルタリングを実装し、Webブラウザによって直接トリガーされるmacOS Script Editorの異常な呼び出しを監視する必要があります」と彼は述べました。
