高度なマルバタイジング(悪意ある広告)キャンペーンが、ChatGPT と DeepSeek の共有チャット機能を悪用し、macOS ユーザーに認証情報窃取マルウェアを配布しています。
脅威アクターは、Google 検索のスポンサー枠を購入し、被害者を正規に見える LLM 生成チャットセッションへリダイレクトします。そこには難読化された悪意あるコマンドが含まれており、プラットフォームレベルの安全機構を事実上すり抜けています。
攻撃は、ユーザーが「Mac のストレージを空ける方法」など、一般的な macOS のトラブルシューティングに関する検索を行うところから始まります。
スポンサー付きの Google 検索結果は、被害者を共有された ChatGPT およびDeepSeek チャットのリンクへ誘導します。これらは一見無害に見えますが、正規のシステムメンテナンス手順を装った悪意あるターミナルコマンドを含んでいます。
コマンドは base64 でエンコードされており、初期検知を回避しつつ、もっともらしい否認可能性を維持しています。
実行されると、最初の bash スクリプトはいくつかの重要な処理を行います。正規の macOS 認証を装ったパスワード入力ループを作成し、入力されたパスワードを dscl 認証チェックで検証し、収集した認証情報を /tmp/.pass に保存します。
その後スクリプトは、機密データの窃取と永続化の確立を目的としたネイティブ macOS バイナリであるメインのマルウェアペイロードをダウンロードします。
多段階マルウェア:Shamus Stealer
解析によると、ダウンロードされるペイロードは Shamus と呼ばれる既知の情報窃取・暗号資産窃取マルウェアであり、高度な難読化技術を用いてリバースエンジニアリングを回避しています。
共有チャットには、Mac のメモリをクリーンアップするためとして、ターミナルコマンドを実行する手順が含まれています。
このバイナリは、算術演算と XOR エンコーディング、そしてハッシュテーブル形式のアルファベットを用いるカスタム Base64 風デコーダを組み合わせた多段階デコード処理を使用します。
この手法により、単純な文字列抽出ツールでは静的解析中にマルウェアの機能を明らかにできなくなります。
実行されると、マルウェアはまず解析用サンドボックスや仮想環境を検出するための環境チェックを行います。
QEMU や VMware、特定のハードウェアシリアル番号などの検出指標が見つかった場合、マルウェアはペイロードを実行せずに終了します。その後、進行中の悪意ある活動を隠すために Terminal アプリケーションを非表示にします。
各文字はこのテーブルを通じて参照され、6 ビット値に変換されます。これらの 6 ビットチャンクは、少なくとも 8 ビット分がたまるまで蓄積され、そのたびに 1 バイトの出力が生成されます。
マルウェアのメインペイロードは 800 行に及ぶ AppleScript で、機密データを体系的に抽出するよう設計されています。
これは 12 種類の Chromium 系ブラウザ(Chrome、Brave、Edge、Opera 系列)および Firefox 系ブラウザを標的とし、Cookie、閲覧履歴、ログイン認証情報、ローカルストレージデータを盗み出します。
暗号資産窃取機能は特に深刻です。マルウェアはMetaMask を含む 200 以上の暗号資産ウォレット用ブラウザ拡張機能を特定して狙い、拡張機能ディレクトリ全体と IndexedDB データを抽出します。
デスクトップウォレットについては、Bitcoin Core、Electrum、Exodus、Ledger Live、Trezor Suite など 15 種類のアプリケーションを標的とします。
さらにマルウェアは、macOS キーチェーンデータベース全体、system_profiler によるシステム情報、Telegram セッションデータ、OpenVPN プロファイル、および .wallet、.key、.json、.db などの拡張子を持つ Desktop、Documents、Downloads フォルダ内のファイルを収集します。
永続化とアプリケーション改ざん
アクセスを維持するため、マルウェアは root 権限で動作する LaunchDaemon をインストールし、ユーザー権限でボットバイナリを毎秒実行する永続化エージェントを起動します。
これにより、システム再起動後もマルウェアが生き残り、終了させられても自動的に再起動されます。
さらに深刻なのは、マルウェアがアプリケーションのトロイの木馬化を行う点です。特に Ledger Live などの正規の暗号資産ウォレットアプリケーションを、トランザクションを傍受して暗号資産を盗み出す改ざん版に置き換え、ユーザーがハードウェアウォレットを使用していても盗難を可能にします。
C2 インフラは 45.94.47.205/contact への HTTP POST リクエストを通じて通信し、盗み出したデータは ZIP アーカイブにまとめられ、ユーザー識別子やビルド ID を含むカスタムヘッダー付きの curl を用いて流出させられます。
組織は、スポンサー付き検索結果をクリックするリスクについてユーザー教育を行い、マルウェアの実行パターンを検知するエンドポイント検出・応答ソリューションを導入し、不審な macOS LaunchDaemon のインストールを監視する必要があります。
翻訳元: https://gbhackers.com/ai-chats/
