洗練されたマルバタイジング(悪意ある広告)キャンペーンが、Atomic macOS Stealer(AMOS)の亜種を配布しようとし、数百の組織を標的にしました。
2025年6月から8月にかけて、このキャンペーンでは被害者が偽のmacOSヘルプウェブサイトに誘導され、悪意あるワンラインのインストールコマンドを実行するよう促されました。
最終的な目的は、被害者にCookie Spiderというマルウェア・アズ・ア・サービス(MaaS)グループによって開発されたAMOSインフォスティーラーのSHAMOS亜種に感染させることでした。
この期間中、CrowdStrikeは300以上の顧客環境がこのマルバタイジングキャンペーンによる侵害の試みから守られたと発表しました。
「このキャンペーンは、eCrime(サイバー犯罪)アクターの間で悪意あるワンラインインストールコマンドがいかに人気であるかを浮き彫りにしています」とCrowdStrikeは最近のブログで述べています。
この手法により、サイバー犯罪者はGatekeeperのセキュリティチェックを回避し、Mach-O(主にmacOSで使用されるバイナリ形式)実行ファイルを被害者のデバイスに直接インストールすることができます。
Cuckoo StealerやSHAMOSの運用者は、2024年5月から2025年1月にかけて行われたHomebrewマルバタイジングキャンペーンでもこの手法を利用していました。
CrowdStrikeは、このマルバタイジングサイトがイギリス、アメリカ、日本、中国、コロンビア、カナダ、メキシコ、イタリアなどの地域でGoogle検索ユーザーに表示されていたと指摘しています。
同社の分析によると、被害者はロシアにはいなかったとのことです。
「これは、ロシアのeCrimeフォーラムが、ロシア国内のユーザーを標的とするコモディティマルウェアの運用者を禁止しているためと考えられます」と同社は述べています。
偽のmacOSヘルプウェブサイトは、ユーザーが問題を解決できるとする虚偽の手順を提示していました。
しかし、これらのページは被害者に対し、悪意あるワンラインインストールコマンドをコピー&ペーストして実行するよう指示し、そのコマンドはBase64でエンコードされた文字列を含んでいます。
このコマンドにより、https[:]//icloudservers[.]com/gm/install[.]shからファイルがダウンロードされます。このファイルはBashスクリプトで、ユーザーのパスワードを取得し、https[:]//icloudservers[.]com/gm/updateからSHAMOSのMach-O実行ファイルをダウンロードします。
2025年6月にこの種のキャンペーンについて初めて報告して以来、CrowdStrike Counter Adversary Operationsは、悪意あるGitHubリポジトリを利用して被害者にSHAMOSをダウンロードさせるコマンドを実行させる機会主義的なeCrime脅威アクターの活動を継続的に観測していると述べています。
CrowdStrikeのCounter Adversary Operationsは、高い確信をもって、eCrimeアクターが今後もマルバタイジングやワンラインインストールコマンドの両方を活用し、macOS向け情報窃取マルウェアを拡散し続ける可能性が高いと評価しています。
翻訳元: https://www.infosecurity-magazine.com/news/fake-macos-spread-infostealer/