TokyoBlackHatNews

gbhackers.com 4分で読了

主要ブラウザと仮想通貨ウォレットを狙う新型SHubスティーラー「Reaper」

脅威アクターが、macOS向けにアップグレードされたSHubスティーラーの新バージョン「Reaper」を引っ提げて再登場しました。すべてのMacユーザーが警戒すべき、巧妙な配布手口が使われています。

攻撃者はWeChat、Miroなどの人気アプリに見せかけた偽のダウンロードページを作成し、自動化されたClickFix技術を悪用して、悪意あるコードがあらかじめ読み込まれたAppleのスクリプトエディタを被害者の端末で開かせます。

スクリプトエディタの「実行」ボタンをクリックするだけで、多段階の感染プロセスが始まり、最終的にはブラウザのデータや仮想通貨ウォレット、各種ドキュメントが窃取され、さらに隠しバックドアがインストールされます。

偽ページはなりすましドメインへ誘導しており、Microsoftを模したタイポスクワッティングアドレスにペイロードをホストしているケースも確認されています。

また、攻撃者はAppleやGoogleの公式アップデートファイルを思わせるファイル名を使って信頼性を演出し、~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/のようなパスにマルウェアを配置することで、正規サービスを装います。

Reaperが特に危険なのは、多彩な機能を組み合わせている点にあります。以前のSHubも、ブラウザの認証情報、macOSキーチェーン、iCloudトークン、Telegramセッション、開発者リソースを窃取していました。

Reaperはこれに加え、AMOSスタイルのファイル取得機能と、デスクトップ用仮想通貨ウォレットへの標的型攻撃機能を備えています。DocumentsやDesktop上の高価値ファイル(.docx、.pdf、.wallet、.key、.json、.xlsxなど)を検索し、ZIPで圧縮・分割したうえで、攻撃者が管理するC2エンドポイントにアップロードします。

SentinelOneがGBhackersと共有したレポートでは、今回の一連の攻撃を詳細に分析し、脅威アクターがソーシャルエンジニアリングとブランドなりすましを組み合わせて正規に見せかける手口を明らかにしています。

仮想通貨に関しては、Reaperはウォレットアプリを単に置き換えるのではなく、ウォレット使用時に資金を横取りできるようローカルコードを改ざんします。SentinelOneの分析によると、Exodus、Atomic、Ledger Live、Electrum、Trezor Suiteなどの正規ウォレットアプリのファイルを編集し、秘密鍵やトランザクションを傍受する仕組みになっています。

Image

Reaperには明確なアンチ解析機能も組み込まれています。Macのキーボードがロシア語に設定されている場合は動作を中止します。これは、オペレーターが自国ユーザーを攻撃対象から除外している一般的な兆候です。

新型SHubスティーラーの実態

感染の流れでは、偽のシステムパスワードダイアログを表示してユーザーに権限を付与させようとし、その後はBase64エンコードされた「GoogleUpdate」スクリプトを起動時に実行するLaunchAgentによって持続的な感染状態を維持します。

この攻撃はAppleのスクリプトエディタというApple純正ツールと、一見本物らしいウェブページを組み合わせているため、技術的な知識に乏しいユーザーには脅威を見抜くことが難しい状況です。

Image

Reaperや類似のmacOSスティーラーから身を守るためには、次の点を心がけてください。ダウンロードページや突然表示される「修正してください」といった指示には健全な懐疑心を持つこと、ソースを確認できない限りウェブページのコードを貼り付けたり実行したりしないこと、自分で作成したスクリプト以外ではスクリプトエディタの「実行」ボタンを押さないこと、URLを注意深く確認し非公式なサードパーティサイトやミラーサイトからのダウンロードを避けることが重要です。

多層的な保護と継続的な監視のために、多くのスティーラー亜種の検出を謳いトライアルを提供しているMoonlockのようなエンドポイント製品の導入も検討に値します。

今回のキャンペーンは憂慮すべきトレンドを示しています。攻撃者は実績のある配布手口を再利用しつつ、複数のスティーラーの機能を組み合わせて、より強力なハイブリッド型マルウェアを生み出しているのです。

Macユーザーへの教訓はシンプルです。利便性を優先して慎重さをおろそかにしないでください。ダウンロードは必ず公式ベンダーサイトで確認し、見慣れないスクリプトの実行は避け、macOSとアプリケーションを常に最新の状態に保ち、Reaperのような隠密性の高い多段階型の脅威を検知できる信頼性の高いセキュリティソリューションを活用してください。

翻訳元: https://gbhackers.com/new-shub-stealer-variant/

ソース: gbhackers.com
#C2サーバー #ClickFix攻撃 #LaunchAgent永続化 #macOSマルウェア #Reaper #SHubスティーラー #ソーシャルエンジニアリング #ブランドなりすまし #仮想通貨ウォレット #情報窃取型マルウェア

関連記事

新たなGafgytの亜種、モジュール型拡散戦術でLinuxシステムを標的に

主要AIチャットボットユーザーを狙う悪意あるブラウザ拡張機能

AIを活用したワームが盗んだ計算資源を悪用——Linux・Windows・IoTデバイスを標的に