TokyoBlackHatNews

gbhackers.com 5分で読了

MacSync macOS情報窃取マルウェア、ClickFix風攻撃でユーザーをだまし単一のターミナルコマンドを実行させる

暗号資産ユーザーを標的とする認証情報窃取ツール「MacSync」(Malware-as-a-Service:MaaS)を配布するために、欺瞞的なClickFix風ソーシャルエンジニアリングを悪用する高度なmacOS情報窃取キャンペーンが確認された。

攻撃チェーンはフィッシングのリダイレクトから始まり、トロイの木馬化されたハードウェアウォレットアプリケーションを通じて永続的なアクセスへと至る。

このキャンペーンは、Microsoftのログインページを装う認証情報ハーベスターから開始される。公式Microsoft認証を偽装するドメインcrosoftonline[.]com/login[.]srfの分析により、HTTPリダイレクトチェーンが、説得力のあるデザインのmacOSクラウドストレージインストーラーページであるmacclouddrive[.]com/s2/へと誘導していることが判明した。

誘導ページは「高度なインストール」を装って単一のターミナルコマンドを提示し、偽のApp Store風の演出と目立つコピーボタンを備えている。

専用の「ターミナルインストール」セクションは「上級ユーザー」を標的にし、従来のダウンロードに代わる便利な選択肢として単一コマンドを提示する。

Image
配布手法(出典:CloudSEK)。

ペイロード文字列はデコードされてjmpbowl[.]xyzからコードを取得し、最終的にブラウザの認証情報、暗号資産ウォレット、およびシステムのKeychainデータを侵害する多段階感染を引き起こす。

多段階感染チェーン

ステージ1:初期ペイロード

ワンライナーのコマンドは、base64エンコードされたURLを直接Zshにパイプし、Gatekeeperと公証(notarization)を完全に回避する。実行されると、軽量なデーモン化されたZshローダーをダウンロードし、直ちにバックグラウンド化してターミナルからの可視性を断つ。

ステージ2:動的ペイロード配信

ステージャーは、被害者追跡に紐づく固有のビルドトークンを用いて、/dynamicエンドポイントからAppleScriptの中核ペイロードを取得する。ステージャーはすべての出力を/dev/nullへリダイレクトし、ハードコードされたAPIキーによってC2接続を維持しつつ、サイレント実行を確実にする。

Image
リモートAppleScript情報窃取マルウェア(出典:CloudSEK)。

ステージ3:データ流出

AppleScriptモジュールは、以下を体系的に収集する:

  • Chromium派生ブラウザ(Chrome、Brave、Edge、Arc、Vivaldi、Opera、Yandex)にまたがるブラウザプロファイル
  • 25以上の暗号資産ウォレット拡張機能ID。MetaMask、Phantom、Binance Wallet、Coinbase Walletなどを標的
  • デスクトップウォレットアプリケーション(Exodus、Electrum、Atomic、Wasabi、Bitcoin Core、Guarda)
  • Wi‑Fi、アプリケーション、SSH認証情報を含む完全なKeychainデータベース
  • SSH鍵、AWS認証情報、Kubernetes設定
  • TelegramのセッションデータとApple Notesデータベース
  • デスクトップ、書類、ダウンロードからの機会的なファイル

重要なのは、このスクリプトがロシア語ラベル付きで「システム環境設定」を模倣した永続的なフィッシングダイアログを実装し、macOSログインパスワードの入力を繰り返し促す点である。この認証情報は平文で保存され、暗号化されたブラウザおよびKeychainデータをオフラインで復号するために用いられる。

トロイの木馬化による永続化

MacSyncは、効果的なソーシャルエンジニアリング、多段階の回避、包括的なデータ収集、侵害後の永続化を組み合わせ、macOSマルウェアの高度化における大きなエスカレーションに対処した

MacSyncは条件付きのアプリケーショントロイの木馬化によって、特定の感染を強化する。/Applications/内でLedger Wallet.appまたはTrezor Suite.appが検出されると、ペイロードは悪意あるバンドルをダウンロードし、部分的または完全な置換を実行する。

Ledgerの場合、app.asarとInfo.plistのみが上書きされ、正規アプリのリソースを保持して検知を最小化する。新しいバンドルはアドホック署名を適用し、標準的なGatekeeper検証を回避する。

Trezor Suiteの場合、アプリケーションバンドル全体が置換される。どちらの亜種も、エラー回復画面に続いてPINおよびリカバリーフレーズ収集フォームを提示する、説得力のある多段階フィッシングウィザードを注入し、ファームウェア修復を装って認証情報を取得する。

暗号資産ユーザーとハードウェアウォレットアプリケーションに焦点を当てている点は、macOSエコシステム内の高価値標的を明確に理解していることを示している。

少なくとも8つのローテーションするC2ドメインが一貫した命名パターン(jmpbowl[.]xyzの派生)に従っている。

複数の/v1-/v3パスと、ほぼ同一のクローンサイト5件は、キャンペーンが継続的に進化していることを示す。各ビルドには固有トークンが付与され、精密な被害者追跡とペイロードのカスタマイズが可能になる。

従来型のバイナリアーティファクトが存在せず、代わりにスクリプトベースの実行に依存しているため検知は著しく困難になる一方、条件付きトロイの木馬化により、価値の高いアプリケーションを含むシステムにのみ長期的なアクセスを確保する。

翻訳元: https://gbhackers.com/macsync-macos/

ソース: gbhackers.com
#AppleScript #ClickFix型攻撃 #macOSマルウェア #MacSync #インフォスティーラー #ソーシャルエンジニアリング #ハードウェアウォレット(Ledger・Trezor) #フィッシング #多段階感染チェーン #暗号資産(仮想通貨)

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚