偽のHomebrewやLogMeInサイトを使ったGoogle広告が情報窃取マルウェアを拡散

新たな悪意あるキャンペーンが、偽のHomebrew、LogMeIn、TradingViewプラットフォームを使い、AMOS（Atomic macOS Stealer）やOdysseyといった情報窃取マルウェアを配布し、macOS開発者を標的にしています。

このキャンペーンでは「ClickFix」手法が使われ、ターゲットはターミナルでコマンドを実行するよう騙され、自らマルウェアに感染してしまいます。

Homebrewは、macOSやLinux上でソフトウェアのインストールを簡単にする人気のオープンソースパッケージ管理システムです。過去にも脅威アクターがこのプラットフォーム名を利用し、AMOSを配布するマルバタイジングキャンペーンが行われてきました。

LogMeInはリモートアクセスサービス、TradingViewは金融チャートや市場分析プラットフォームで、どちらもAppleユーザーに広く利用されています。

脅威ハンティング企業Hunt.ioの研究者は、このキャンペーンで3つのプラットフォームになりすました85以上のドメインを特定しました。BleepingComputerもさらにいくつか発見しています。

いくつかのドメインを調査したところ、BleepingComputerは、これらのサイトへのトラフィックがGoogle広告を通じて誘導されている場合があることを発見しました。これは脅威アクターがGoogle検索結果に表示されるよう広告で宣伝していることを示しています。

これらの悪意あるサイトは、偽アプリのダウンロードポータルを本物そっくりに作り、ユーザーにターミナルでcurlコマンドをコピーしてインストールするよう指示しています、と研究者は述べています。

TradingViewの場合など、悪意あるコマンドは「接続のセキュリティ確認ステップ」として提示されます。しかし、ユーザーが「コピー」ボタンをクリックすると、表示されているCloudflare認証IDの代わりに、base64でエンコードされたインストールコマンドがクリップボードに送られます。

このコマンドは「install.sh」ファイルを取得・デコードし、ペイロードバイナリをダウンロード、隔離フラグを削除し、Gatekeeperのプロンプトを回避して実行できるようにします。

ペイロードはAMOSまたはOdysseyで、仮想マシンや解析システムかどうかを確認した後、マシン上で実行されます。

マルウェアは明示的にsudoを呼び出してroot権限でコマンドを実行し、最初の動作としてホストのハードウェアやメモリの詳細情報を収集します。

次に、OneDriveのアップデータデーモンを停止するなどシステムサービスを操作し、macOS XPCサービスと連携して悪意ある活動を正規プロセスに偽装します。

最終的に、マルウェアの情報窃取コンポーネントが作動し、ブラウザに保存された機密情報や暗号通貨の認証情報を収集し、コマンド＆コントロール（C2）に送信します。

AMOSは2023年4月に初めて記録されたマルウェア・アズ・ア・サービス（MaaS）で、月額1,000ドルのサブスクリプションで利用可能です。感染したホストから幅広いデータを盗むことができます。

最近、その開発者はマルウェアにバックドアコンポーネントを追加し、オペレーターにリモートで持続的なアクセスを可能にしました。

Odyssey Stealerは、CYFIRMAの研究者によって今夏記録された比較的新しいファミリーで、Poseidon Stealerから派生し、さらにAMOSからフォークされたものです。

Chrome、Firefox、Safariブラウザに保存された認証情報やCookie、100種類以上の暗号通貨ウォレット拡張機能、キーチェーンデータ、個人ファイルなどを標的とし、それらをZIP形式で攻撃者に送信します。

ユーザーは、内容を完全に理解していない限り、インターネット上で見つけたターミナルコマンドを貼り付けないことが強く推奨されます。