脅威アクターたちは、macOS向けSHub Stealerを大幅に進化させた新バージョン「Reaper」を配布するために、偽のソフトウェアサイトを悪用しています。
WeChat や Miro などの人気アプリになりすますことで、サイバー犯罪者たちは疑いを持たないMacユーザーへのマルウェア感染を成功させています。
この攻撃キャンペーンでは、悪意あるコードの実行を自動化したClickFix技術の簡略化バリアントが使用されており、攻撃の検知をより困難にしています。
従来のClickFix攻撃は、ソーシャルエンジニアリングによって被害者をだまし、悪意あるスクリプトをmacOSのTerminalに手動でコピー&ペーストさせる手口でした。
この新しいキャンペーンでは、そのステップを省略し、あらかじめ悪意あるコードが読み込まれた状態でネイティブの「スクリプトエディタ」アプリを直接起動するという危険な手法が採られています。
ユーザーがスクリプトエディタの「再生」ボタンをクリックすると、感染の連鎖が自動的に始まります。
セキュリティ研究者がこの手法、すなわちTerminalの手動操作を回避して自動化された高度なアプローチを採用する攻撃者を観測したのは、2か月間でこれが3度目となります。
攻撃者は信頼性を高めるため、大手テック企業ブランドを巧みに偽装してインフラを隠蔽しています。mlcrosoft[.]co[.]comのようなタイポスクワッティングドメインにペイロードをホスティングし、正規のAppleセキュリティアップデートに見せかけています。
さらにこのマルウェアは、偽のGoogle Software Updateディレクトリ内にバックドアを隠して持続的なアクセスを確保します。
脅威アクターたちは、ほとんどのユーザーがスクリプトエディタのようなデフォルトアプリケーションを信頼しているという事実を利用し、macOSのネイティブツールの技術的な複雑さを積極的に悪用しています。
最初のペイロードが実行されると、Reaperはただちにシステムのキーボード設定を確認します。Macがロシア語レイアウトを使用している場合、特定地域のシステムを標的にすることを避けるため、マルウェアは自動的に実行を停止します。
それ以外のユーザーに対しては、Reaperが偽のシステムパスワードプロンプトを表示し、権限昇格を行ったうえでローカルの制限されたリソースへのアクセスを試みます。
Reaperは暗号資産ウォレットを偽のバージョンに置き換えるだけにとどまらず、正規のデスクトップウォレットアプリのコアコードそのものを改ざんして資金を窃取します。
盗み出したデータを収集した後、マルウェアはそれを圧縮します。そして、macOSのネイティブコマンドであるcurlを使って、攻撃者が管理するC2(コマンド&コントロール)サーバーへペイロードを送信します。
最後に、Reaperは侵害したマシンへのアクセスを維持し続けます。
エンコードされたbashスクリプトを設置し、LaunchAgentのプロパティリストとして登録することで、バックグラウンドで静かに動作し続けます。こうした高度なスティーラーからシステムを守るためには、多層防御戦略が必要です。
Moonlockなどの専用macOSセキュリティツールを活用することで、悪意あるTerminalスクリプトを含む隠れた脅威をリアルタイムで検出できます。
暗号資産はできる限りオフラインのコールドウォレットで保管し、正規のソフトウェアインストールが初回セットアップ後にランダムでシステムパスワードを要求することは絶対にないという点を、ぜひ覚えておいてください。
翻訳元: https://cyberpress.org/shub-stealer-targets-wallets/
