TokyoBlackHatNews

gbhackers.com 5分で読了

武器化されたDMGファイルによるmacOSインフォスティーラー配布

macOSを標的とするキャンペーンが最近急増しており、脅威アクターはインフォスティーラーマルウェアの主要な配布手段として、武器化されたディスクイメージ(.dmg)を好んで使用しています。

攻撃者は精巧にブランディングされたDMGインストーラーとソーシャルエンジニアリングの手口を駆使し、Gatekeeperを回避してユーザーにペイロードを実行させます。このペイロードは、認証情報・Cookie・認証トークン・暗号資産ウォレットを素早く窃取した後、永続化することなく痕跡を消します。

感染の連鎖は、SEOポイズニングされた検索結果、侵害されたトレントサイト、クラックソフトウェアのフォーラムから始まります。これらのサイトには偽のダウンロードリンクが設置されています。

正規の有料ソフトウェアをインストールしようとしたユーザーは、カスタム背景画像や誤解を招くファイル名でアプリの「開き方」を指示する、洗練されたFinderウィンドウを表示するDMGをマウントしてしまいます。

これらの指示は、右クリックで開く操作・アプリのTerminalへのドラッグ・システム設定のプロンプトへの誘導といった手口でGatekeeperをバイパスするようユーザーを誘導するものであり、Appleの公証チェックをすり抜けてマルウェアを実行させることを目的としています。

攻撃者が.pkgインストーラーではなくDMGを好む理由は、DMGの作成が簡単で正式な署名や開発者インフラをほとんど必要とせず、ソーシャルエンジニアリングにおける技術的なハードルが低いためです。

Image

マウントされたDMGは /Volumes 以下に表示され、埋め込まれた背景(.background)画像でユーザーに安全でない操作を視覚的に誘導することができます。

このアプローチにより「スマッシュ・アンド・グラブ」型の設計が可能となります。インフォスティーラーは即座に実行され、価値の高い機密情報やセッションデータを抽出し、再起動後の永続化なしにコマンド&コントロール(C2)サーバーへデータを送信します。

DMGファイルによるmacOSインフォスティーラーの配布

HuntressがGBhackersと共有したレポートによると、2025年のテレメトリデータと業界レポートから、インフォスティーラーが新たなmacOS脅威の大半を占めるようになっており、AMOS・Poseidon・Odyssey・MacSyncなど多くのファミリーが確認されています。

Image

これらは、背景画像による誘導・「Drag to Terminal」といったファイル名への指示の埋め込み・海賊版リリース(TNT、CRACKEDなど)を通じた配布という共通のパターンを使い回しています。

攻撃者は意図的なスペルミスによる難読化・バイナリのリネーム・正規品に見せかけたアイコンを用いることで、ユーザーがバイパス手順に従う確率を高めています。

防御側がこの攻撃経路を塞ぐには、マウントイベントを検出の起点にシフトすることが有効です。macOSのEndpoint Security APIは、/Volumes 以下に仮想ボリュームが出現するとマウント通知を発行します。これにより、モダンなエージェントはVIRTUALマウント(ディスクイメージ)をネットワーク共有や外部ディスクと区別することができます。

Image

効果的な検出ワークフローでは、マウントされたボリュームの .background フォルダーを検査し、AppleのVisionといったフレームワークを使って埋め込み画像にOCRを実行し、ファイル名や拡張子から不審なパターン(例:.scpt AppleScriptや「Drag to Terminal」というテキスト)をスキャンします。

ファジーマッチングは、単純なシグネチャを回避するために意図的に仕込まれたスペルミスを検出するのに役立ちます。

不正なインストーラーが確認された場合、対応はボリュームのアンマウントと関連プロセスの終了から始めるべきです。

その後、インシデント対応者は急速な情報窃取の痕跡とインフォスティーラーに典型的な挙動を確認する必要があります。具体的には、一時的なスクリプト・キーチェーンへのアクセス要求・ブラウザのプロファイルやCookieの抽出・既知のC2インフラへの不審なアウトバウンド接続などが確認対象となります。

24時間365日体制のSOCを持つ組織であれば、マウント時のテレメトリをネットワークログやエンドポイントのプロセストレースと相関分析することで、トリアージと修復を迅速化できます。

エンドユーザーへの教育も引き続き不可欠です。不意に届くダウンロードや「クラック版」ソフトウェアを高リスクとして扱うこと、手動でのGatekeeperバイパスを求めるインストーラーの画面指示に従わないこと、そしてソフトウェアのソースを確認することが重要です。

一方、セキュリティチームはエンドポイントエージェントにESマウントイベントの監視・マウントされたボリュームのコンテンツ分析・ペイロード実行前の不審なマウントのエスカレーションを組み込むべきです。

Appleがプラットフォームのセキュリティを強化し続ける中、攻撃者は人間の信頼を悪用する手口を使い続けるでしょう。マウント時に不正なインストーラーを検出することが、高速で動作するインフォスティーラーの目的達成を阻止する最も確実な機会となります。

参考資料として、Objective-SeeによるmacOS脅威分析・Huntressによる不正インストーラーに関する調査・Endpoint Security APIドキュメントが、これらのキャンペーンを追跡する防御側向けの技術詳細と検出例を提供しています。

翻訳元: https://gbhackers.com/dmg-files-deliver-macos-infostealer/

ソース: gbhackers.com
#DMGファイル #Endpoint Security API #Gatekeeperバイパス #macOSマルウェア #SEOポイズニング #インフォスティーラー #クラックソフトウェア #ソーシャルエンジニアリング #脅威インテリジェンス #認証情報窃取

関連記事

SniperDz PhaaSを悪用したブランドなりすましとブラウザハイジャック攻撃

攻撃者がLangflowの深刻な脆弱性を悪用してリモートコード実行

GitHubがnpmインストールスクリプトの悪用を防ぐ自動制御機能を導入