CrashStealerと呼ばれる新種のmacOS向け情報窃取マルウェアが、Appleのクラッシュレポートツールを装って認証情報やキーチェーンデータ、暗号資産ウォレットを盗み出しています。
マルウェア研究者は5月からこのマルウェアの追跡を開始しており、当初はまだ開発段階にあるとみられていましたが、7月上旬に実際の攻撃で使用されているのが確認されました。
CrashStealerは典型的な情報窃取マルウェアの機能セットを備えており、パスワードマネージャーと80種類以上の暗号資産ウォレット拡張機能を主な標的としているようです。
公証済みマルウェアドロッパー
CrashStealerの情報窃取バイナリは「CrashReporter.app」という名前を名乗ることで、Appleのシステムコンポーネントになりすまし、ユーザーの警戒心やセキュリティツールの検知をかいくぐろうとしています。
名前だけでなく、このマルウェアは「com.apple.crashreporter.helper」という名前のLaunchAgentを作成し、正規ツールのアイコンやメタデータも流用することで、できる限り本物に似せています。
Apple製品向けの管理・セキュリティソリューションを提供するJamfの研究者によると、このペイロードは署名済みかつApple公証済みのインストーラー(「Werkbit Setup」)を通じて配布されているとのことです。
これにより、macOSに標準搭載されているマルウェア対策機能Gatekeeperを警告なしにすり抜けることが可能になっています。

起動すると、このマルウェアは偽のmacOSパスワード入力画面を表示し、管理者権限を要する正規のシステム操作を承認しているとユーザーに信じ込ませます。
このパスワードによってユーザーのキーチェーンを解除できてしまいます。キーチェーンにはローカルに保存された機密情報が格納されており、macOSの暗号化パスワード保管庫として機能するもので、通常はSafariのログイン情報やWi-Fiパスワード、アプリケーションのパスワード、秘密鍵、証明書、トークンなどが含まれています。

パスワードが入力されると、マルウェアは「dscl」(Directory Serviceコマンドラインツール)を使ってローカルでその正当性を検証します。パスワードが間違っている場合、CrashStealerは認証エラーを返し、ユーザーに再入力を促します。
キーチェーンのデータに加えて、Jamfの分析によれば、CrashStealerは以下のデータも標的にしています。
- Chromiumベースのブラウザ、およびFirefoxのブラウザ認証情報とCookie
- MetaMask、Phantom、Coinbase Wallet、Trust Wallet、Rabby、Exodus、Keplr、Solflareを含む80種類の暗号資産ウォレット拡張機能
- 1Password、Bitwarden、LastPass、Dashlane、Keeper、KeePassXC、NordPass、Enpass、RoboFormを含む14種類のパスワードマネージャー
- DocumentsやDownloadsといったユーザーディレクトリ内のファイル(ただし大容量のメディアファイル、インストーラー、システムディレクトリは意図的に除外)
窃取したデータを外部に送信する前に、CrashStealerはAES-256-GCMアルゴリズム(この種の手口としては異例なほど強力な方式)でデータを暗号化し、隠しZIPアーカイブにまとめたうえで、libcurlを使って圧縮データをC2(コマンド&コントロール)サーバーにアップロードします。
Jamfの研究者によれば、CrashStealerは目的の点では他の情報窃取マルウェアファミリー(Atomic、MacSync、Phexiaなど)と重なる部分があるものの、クライアント側での暗号化機構とC++によるネイティブ実装という点で一線を画しているとのことです。
Jamfは、CrashStealerの正確な初期配布方法についての詳細は明らかにしていませんが、第一段階のペイロード(Werkbit Setup)が6月下旬に登録された偽のソフトウェアサイトでホストされていた点を指摘しています。

ペイロードのダウンロードには会議用PINコードによる制限がかけられており、これは正しいコードを持つ訪問者だけに限定したキャンペーンであることをうかがわせます。
Jamfの研究者は、CrashStealerのキャンペーンは署名・公証済みのマルウェアドロッパーと、永続化のために自己署名を書き換えるペイロードを用いることで、ステルス性を重視した綿密な作戦になっていると述べています。
この再署名処理の目的は、バイナリ内の署名データを書き換えることで、コード自体は変更していないにもかかわらずファイルのハッシュ値を変化させることにあります。
JamfのCrashStealerに関するレポートでは、悪意あるツールの名称やハッシュ値のほか、配布インフラやファイルシステム上の痕跡に関する詳細を含む、豊富な侵害の痕跡(IOC)情報が公開されています。
攻撃者に先んじて、あらゆる防御層をテストする
セキュリティチームが検知に成功している攻撃はわずか54%、そしてアラートが発報されるのは14%に過ぎません。残りの攻撃は環境内を検知されないまま通り抜けています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、脅威の検知漏れを防ぐのかを紹介しています。