危険な新亜種のOdyssey Stealerマルウェアが、macOSユーザーに深刻な被害を与えています。セキュリティ研究者は、この新たな攻撃の波が急速に拡大していることを確認しました。
ここ数日、テレメトリデータから、サンプルは主に米国、フランス、スペインのユーザーを標的にしていたことが示されました。
しかし脅威は急速に拡大しました。わずか1日後、このキャンペーンは英国、ドイツ、イタリア、カナダ、ブラジル、インドに加え、アフリカおよびアジアの複数の国々へと新たな地域に到達しました。
脅威監視ツールの2枚のスクリーンショットが状況を物語っています。数日前に取得された最初の地図では、米国、フランス、スペインにのみ点が灯っていました。
24時間後に取得された2枚目では、急増が示され、鮮やかな赤いクラスターがヨーロッパ、北米、南米、そしてアフリカとアジアの一部を覆っていました。この急速な拡大は、攻撃者がAppleデバイスから機密データを盗むために組織的に攻勢をかけていることを示しています。
Odyssey Stealerはマルウェア界ではおなじみの存在です。2024年後半に初めて確認され、感染したマシンからブラウザの認証情報、暗号資産ウォレット情報、システム情報を奪います。この新しいmacOS亜種はそれを踏襲しつつ、回避性能を高める調整が加えられています。
自動生成コードを使用し、ユニークなハッシュを持ちながらも、ファイルサイズと中核機能が同一のサンプルを吐き出します。
攻撃者はおそらく、文字列、パッカー、難読化をその場で調整するビルダーを通してこれを運用しています。これにより、アンチウイルスツールにとって検知が難しくなり、毎回新たな脅威として認識されてしまいます。
このマルウェアは、偽アプリ、クラック版ソフトのダウンロード、そしてトレントクライアントや生産性アプリなど人気ツールの更新を装ったフィッシング誘導によって拡散します。インストールされると、macOSのプロセスにひそかにフックします。
Safari、Chrome、Firefoxに保存されたログイン情報を狙い、その後HTTPS経由でコマンド&コントロール(C2)サーバーへデータを流出させます。最近のサンプルは、Odyssey [.]c2net[.]topのようなドメインや、Bulletproofホスティング上で運用される亜種へと通信します。
なぜ今macOSなのか? Appleのユーザーベースは急増しており、特に暗号資産や金融を扱うプロの間で顕著です。
ユーザーは警告を回避するために、署名のないアプリでも「このまま開く」をクリックしてしまいます。ゼロデイは不要で、巧妙な手口と物量だけで成立します。
いまや英国、ドイツ、イタリアなどが次々と点灯する中、攻撃者はローカライズされた誘導を用います。たとえばブラジル向けの偽バンキングアプリや、インド向けの求人サイトなどです。アフリカとアジアへの拡大は、アクセスを販売する地下市場の存在を示唆します。
IOCはこのキャンペーンの規模を裏付けています。すべてのサンプルは2.4MBで、盗まれたApple証明書で署名されています。
防御策としては、macOSを更新し、ロックダウンモードを有効化し、MalwarebytesやXProtectなどのツールでスキャンしてください。
アプリのサイドロードは避け、App Storeを利用しましょう。企業向け:EDRソリューション を導入して、macOS端末群を保護してください。
翻訳元: https://cyberpress.org/odyssey-stealer-targets-macos/