CrowdStrikeは、悪名高いAtomic macOS Stealer(AMOS)情報窃取マルウェアの亜種でmacOSユーザーを感染させる攻撃が急増していると警告しています。
6月から8月にかけて、AMOSマルウェア・アズ・ア・サービス(MaaS)を運営するサイバー犯罪グループ「Cookie Spider」は、マルバタイジングを利用して被害者を偽のヘルプサイトに誘導し、マルウェアをインストールさせる手口を使いました。
このキャンペーンについて、CrowdStrikeは、一般的なmacOSの問題解決策を探しているユーザーを標的にし、被害者に悪意のあるコマンドを実行させるよう指示する偽の広告を利用していたと述べています。
このコマンドは、リモートサーバーからBashスクリプトを取得し、被害者のパスワードを取得したり、別のリモート場所から実行ファイルをダウンロードしたりします。
「SHAMOS」と名付けられたこのペイロードは、AMOSの亜種であり、サンドボックス環境での実行を防ぐためのアンチVMチェックを備え、偵察やデータ収集タスクを実行できます。
このマルウェアは、認証情報、キーチェーン、AppleNotes、ブラウザ、既知の暗号通貨ウォレットのデータを含むファイルをシステム内で検索し、それらをZIPアーカイブにまとめてリモートサーバーに送信しようとします。
さらに、SHAMOSはボットネットモジュールや偽のLedger Liveウォレットアプリケーションなどのペイロードをダウンロードして実行することもできます。
このマルバタイジングキャンペーンは、カナダ、中国、コロンビア、イタリア、日本、メキシコ、米国、英国、その他の国のユーザーを標的にしましたが、ロシアのユーザーには配信されませんでした。
広告。続きを読むにはスクロールしてください。
CrowdStrikeの調査によると、サイバー犯罪者はGoogle広告のプロフィールで、オーストラリアに拠点を置く正規の電子機器店になりすましていた可能性が高いことが判明しました。
「このキャンペーンは、eCrimeアクターの間で悪意のあるワンラインインストールコマンドが人気であることを浮き彫りにしています。この手法により、Gatekeeperのセキュリティチェックを回避し、Mach-O実行ファイルを被害者のデバイスに直接インストールすることができます」とCrowdStrikeは指摘しています。
関連記事: Homebrew macOSユーザーが情報窃取マルウェアの標的に
関連記事: 高価値NPM開発者が新たなフィッシングキャンペーンで被害
関連記事: 北朝鮮のハッカーがmacOSユーザーを標的に
翻訳元: https://www.securityweek.com/hundreds-targeted-in-new-atomic-macos-stealer-campaign/