LimeWireから危険なファイルをダウンロードしていた時代を覚えているなら、今日のmacOSマルウェアの背景にある心理はすでにご存知のはずです。
サイバー犯罪者たちは、正規のソフトウェアと見分けのつかない偽インストーラーを使って、Apple環境への侵入を試みています。
長年にわたり、「Macはマルウェアに強い」という神話が信じられてきました。しかし、その神話は完全に過去のものとなりました。2025年には、新たに報告されたmacOSマルウェアの65%以上がインフォスティーラーに分類されています。
これらの脅威は、システム上で何ヶ月も静かに潜伏するタイプではなく、素早い「強奪作戦」を展開します。
動作が非常に短時間で完結するため、攻撃者は最初のインストール段階でのソーシャルエンジニアリングにすべてのリソースを集中させています。
感染は通常、Webブラウザから始まります。攻撃者は検索エンジン最適化(SEO)ポイズニングを悪用し、偽のソフトウェアリンクを検索結果の上位に表示させます。
ユーザーがそのリンクをクリックすると、本物のインストーラーに見せかけたファイル——通常はディスクイメージ(.dmg)形式——がダウンロードされます。
攻撃者が標準パッケージ(.pkg)ファイルではなくDMGファイルを好む理由は、パッケージファイルにはAppleによる厳格なセキュリティ審査が課せられているからです。
DMGファイルをダブルクリックすると、macOSはそれを仮想ドライブとしてマウントします。通常の操作では、アプリケーションアイコンをApplicationsフォルダにドラッグするだけです。
アプリケーションを開く際、AppleのGatekeeperが起動し、そのソフトウェアが信頼された開発者によって署名されているかどうかを確認します。
Gatekeeperを無効化するために、攻撃者はキーボードを操作するユーザー自身にそれを回避させるよう仕向けます。被害者が悪意あるDMGを開くと、システムセキュリティを無効にする手順が丁寧に記された、作り込まれた背景グラフィックが表示されます。
Huntressの調査によると、攻撃が成功するかどうかの最終的な鍵を握るのは、エンドユーザーがマルウェアの実行を手動で許可するかどうかです。
しかし、ユーザーのセキュリティ意識だけに頼った防御は危険です。これらの攻撃は非常に素早く展開されるため、悪意あるプロセスの実行を待ってから対処する従来のセキュリティツールでは、間に合わないケースが多くあります。
現代の検出手法は、ディスクイメージがマウントされるその瞬間に焦点を当て、マルウェアが実行される前に脅威を捉えます。
防御側はAppleのEndpoint Security APIを活用して仮想マウントイベントを監視し、ディスクイメージの内容を即座に検査します。
マウントされたボリュームをスキャンし、インフォスティーラーがよく使う偽の指示を表示するための隠れたバックグラウンドディレクトリを検出します。
光学文字認識(OCR)技術を使って背景画像からテキストを抽出し、既知の悪意あるフレーズと照合します。
基本的なセキュリティフィルターを回避するための不審な指示や意図的なスペルミスがないか、ファイル名や拡張子をスキャンします。
Appleがランサムウェアのような従来型の攻撃を困難にするにつれ、サイバー犯罪者はユーザー自身を標的にする手口を強化し続けるでしょう。
ディスクイメージがマウントされた瞬間に偽インストーラーを入口でブロックすることが、データ窃取を防ぐ最も効果的な手段です。
翻訳元: https://cyberpress.org/macos-infostealer-uses-dmgs/
