新たなインフォスティーラーの亜種が、Appleユーザーの企業認証情報を狙う。
Appleデバイス管理およびセキュリティベンダーのJamfによると、MacSync StealerのmacOSマルウェアは現在、最小限のユーザー操作で正規アプリに見えるものを利用し、被害者のコンピューターに感染できるようになっている。
これまでmacOSのキャンペーンでは、ClickFixのソーシャルエンジニアリングや、熟練ユーザー向けのmacOSの「ドラッグしてターミナルへ」手順といった、比較的侵襲的な手法でユーザーに感染アプリを起動させる必要があった。
これに対し、MacSync Stealerは、一般的なユーティリティのURLから、コード署名され公証済みのSwiftアプリケーションとしてダウンロードされる。ユーザーがインストールを開始すると、ドロッパーがコマンド&コントロール(C2)サーバーからマルウェアのペイロードスクリプトを取得する。
奇妙な点の一つは、署名済みの実行ファイルは技術的には感染のためにそれを必要としないにもかかわらず、ダウンロードが依然として右クリックして「開く」で起動するよう被害者を促していることだ。
革新はその欺瞞的な出自にある。マルウェアがmacOSに正当な開発者と見なされる存在によって署名され、悪意あるものとして検出されていないため、警告や追加手順が不要になるのだ。これはAppleのGatekeeperセキュリティの弱点を浮き彫りにしている。犯罪者はAppleの自動検出および公証システムを回避するために、マルウェアを絶えず作り替えることができる。
これにより攻撃者には悪用のための時間的猶予が生まれる。Jamfによれば、同社がこの問題をAppleに報告した後になって初めて、マルウェアの証明書の認証情報が失効させられたという。
拡大の兆し
MacSync Stealerは、経済的動機に基づくmacOSマルウェアが増加している最新の例だ。目的は、アカウント認証情報、APIキー、暗号資産ウォレットのデータなどを含む、高価値ユーザーからのデータ窃取である。
このマルウェアの起源は、以前のMac向けインフォスティーラーであるMac.c Stealerにある。これは、駆け出しのサイバー犯罪者でも安価に購入できる点が魅力だった。しかし4月に出現してから数週間のうちに、これはMacSyncとしてリブランドされ、より高度な機能が追加された。
別のmacOSスティーラーであるOdysseyインフォスティーラーも、同じ配布手法を用いていることが確認されていた。
Jamfは「MacSync Stealer自体はまったく新しいものではないが、この事例は、その作者たちが配布手法を進化させ続けていることを示している」と述べた。
「この配布の変化は、macOSマルウェアの状況全体におけるより広い傾向を反映している。攻撃者は、署名され公証された実行ファイルにマルウェアを忍び込ませ、より正規のアプリケーションのように見せかけようとする試みを強めている。」
Macマルウェアの「市場」はWindows向けに比べて規模が小さく見えるかもしれないが、これは主に、企業で利用される主要なOSが依然としてPCであることを反映しているにすぎない。それでも犯罪者は、Macマルウェアに必要な追加の開発時間が、ますます見合うものになっていることに気づいている。
