- AMOSはユーザーが悪意のあるターミナルコマンドを自分で実行することに依存している
- Sophos MDRはmacOS攻撃におけるClickFixスタイルのソーシャルエンジニアリングを特定した
- macOSスティーラーレポートの半分がAMOSに関連しているが、Appleが対抗している
Atomic macOS Stealer(別名AMOS)は、Appleデバイスを侵害するために高度なゼロデイ脆弱性を必要としないため、永続的なmacOSセキュリティ脅威である。
その代わり、このマルウェアファミリーはユーザーを騙して自分のターミナルアプリケーションに単一のコマンドを入力させることにより、通常のユーザー行動を繰り返し悪用する。
Sophos MDRチームが調査した最近のインシデントはこのパターンを正確に明らかにした:ClickFixスタイルのトリックが被害者を手動で悪意のあるコード行を実行するよう説得した。
AMOSは技術的悪用よりも心理的操作を使用する
このアプローチはますます顕著になっており、研究者たちは2025年から2026年初頭にかけての複数のmacOS情報盗用キャンペーンで同様のソーシャルエンジニアリング戦術を指摘している。
AMOSは2025年にSophosが展開したすべてのmacOS保護更新の約40%を占め、同時期の他のmacOSマルウェアファミリーの検出率を2倍以上に増やした。
さらに、過去3ヶ月間のすべてのmacOSスティーラー顧客レポートのほぼ半分がAMOSまたはその関連バリアントに関連していた。
セキュリティ企業は、少なくとも2023年4月からこのマルウェア・アズ・ア・サービス操作を追跡しており、2025年8月にCrowdStrikeが報告したSHAMOSという別名のバリアントを含む注目すべきキャンペーンがある。
2025年12月、HuntressはChatGPTとGrok会話に関連する有毒な検索結果を通じて広がる感染を記録した。
マルウェアがパスワードとデータをどのように収集するか
初期のターミナルコマンドがブートストラップスクリプトを実行した後、マルウェアはすぐにユーザーにmacOSシステムパスワードの入力を促す。
その後、悪意のあるコードはこの認証情報をシンプルなディレクトリサービスコマンドを使用してローカルで検証してから、ユーザーのホームディレクトリ内の.passという隠しファイルに保存する。
パスワードが保護されると、AMOSはmacOSセキュリティ警告をバイパスするために拡張属性を削除するセカンダリペイロードをダウンロードする。
スティーラーはまた、QEMU、VMware、またはKVMなどのインジケータについてsystem_profilerデータをクエリすることで、仮想マシンまたはサンドボックス環境内で実行されているかどうかをチェックする。
その後、マルウェアはmacOS Keychain データベース、FirefoxとChromeのブラウザ認証情報、拡張ストレージファイル、ローカルセッショントークンを含む、広範な機密情報の収集を進める。
いくつかのバリアントは、暗号資産ウォレットシードと認証情報を盗むように設計された偽のLedger WalletとTrezor Suiteアプリケーションもデプロイする。
収集されたすべてのファイルはdittoユーティリティを使用して単一のアーカイブに圧縮され、その後curl POST要求を介して攻撃者制御サーバーに送信される。
長期的なアクセスを維持するために、マルウェアはすべてのシステム再起動後に自動実行を保証するLaunchDaemonをインストールする。
AMOSの深刻性にもかかわらず、情報盗用マルウェアがほぼ20年間Windowsシステムを標的にしてきたことを考えると、セキュリティベンダーがその新規性を大げさに述べているかどうかを疑う価値がある。
マルウェアのユーザーの同意への重大な依存(誰かが進んでターミナルコマンドを貼り付けて実行する必要がある)は、技術的に素養のあるユーザーが容易に回避できる重大な障壁を生み出す。
さらに、Gatekeeper、XProtect、および公証要件に対するAppleの継続的な改善は、数回のオペレーティングシステム更新以内にAMOSをほぼ無効にする可能性がある。
真の危険はAMOS自体にではなく、どのプラットフォームも基本的なセキュリティ警告を無視するユーザーに対する免疫がないという不快な真実にあるかもしれない。
