新しい情報窃取型マルウェア「DigitStealer」がMacユーザーを狙っています。このマルウェアは検出を回避し、古いデバイスをスキップして、ファイルやパスワード、ブラウザデータを盗みます。この記事では、その仕組みとMacを守る方法を解説します。
研究者たちは、macOSユーザーから機密情報を盗む新たなマルウェア「DigitStealer」について報告しています。
この亜種は高度な検出回避技術と多段階の攻撃チェーンを備えています。多くの情報窃取マルウェアは同じ種類のデータを狙い、似た手法を使いますが、DigitStealerは十分に異なっており、注目に値します。
このマルウェアが際立っている点はいくつかあります。プラットフォーム特化のターゲティング、ファイルレス動作、そして解析回避技術です。これらが組み合わさることで、Macユーザーにとって比較的新しい課題となっています。
攻撃は「DynamicLake」と呼ばれるユーティリティアプリに偽装したファイルから始まります。これは正規企業のサイトではなく偽のウェブサイトにホストされています。ユーザーを騙すために、ファイルをTerminalにドラッグするよう指示し、それによってDigitStealerのダウンロードとインストールが開始されます。
システムが特定の地域に該当したり、仮想マシンである場合、マルウェアは実行されません。これは研究者による解析を妨げたり、母国の人々への感染を避けるためであり、国によってはこれだけで刑務所行きを免れることもあります。また、M2チップ以降で導入された新しいARM機能を持つデバイスのみに限定しており、古いMacやIntelベースのチップ、大半の仮想マシンはスキップされます。
攻撃チェーンは主にファイルレスであるため、感染したマシンに多くの痕跡を残しません。ファイルベースの攻撃がハードドライブ上でペイロードを実行するのに対し、ファイルレス攻撃はランダムアクセスメモリ(RAM)上でペイロードを実行します。悪意のあるコードをハードドライブではなくメモリ上で直接実行することには、攻撃者にとっていくつかの利点があります:
- 従来のセキュリティ対策の回避:ファイルレス攻撃はアンチウイルスソフトやファイル署名検出を回避し、従来のセキュリティツールでは特定が困難になります。
- 駆除が困難:ファイルレス攻撃はファイルを作成しないため、検出後の除去がより難しくなります。これにより、フォレンジック調査で攻撃の発信源を特定し、システムを安全な状態に戻すのが一層困難になります。
DigitStealerの最初のペイロードはパスワードを要求し、ドキュメントやメモ、ファイルの窃取を試みます。成功すると、それらを攻撃者のサーバーにアップロードします。
攻撃の第二段階では、Chrome、Brave、Edge、Firefoxなどのブラウザ情報やキーチェーンのパスワード、暗号通貨ウォレット、VPN設定(特にOpenVPNとTunnelblick)、そしてTelegramのセッションを狙います。
Macを守る方法
DigitStealerはMacマルウェアが進化し続けていることを示しています。他の情報窃取マルウェアとは異なり、攻撃を段階的に分け、新しいMacハードウェアをターゲットにし、ほとんど痕跡を残しません。
しかし、以下の方法で自分自身を守ることができます:
- 最新のリアルタイムアンチマルウェア対策を利用しましょう。DigitStealerは高度な振る舞い検知の必要性を示しています。単なる署名スキャンだけでは不十分です。Malwarebytes for MacはDigitStealerをMacOA.Stealer.DigitStealとして検出します。
- Terminalで実行するものには常に注意しましょう。身に覚えのないメッセージの指示には従わないでください。
- アプリのダウンロード元には注意しましょう。
- 特にオペレーティングシステムやセキュリティ対策ソフトウェアは常に最新の状態に保ちましょう。
- 盗まれたパスワードだけでアカウントに侵入されないよう、多要素認証を有効にしましょう。
私たちは脅威を報告するだけでなく、除去も行います
サイバーセキュリティのリスクは見出しだけで終わるべきではありません。今すぐMalwarebytesをダウンロードして、脅威からデバイスを守りましょう。
