TokyoBlackHatNews

gbhackers.com 4分で読了

ハッカーがChatGPT、Grok、Google広告を悪用してmacOS AMOS Stealerを拡散

脅威アクターが共有可能なChatGPTとGrokの会話を悪用し、Google検索広告でプッシュすることで、macOSユーザーを騙してAtomic macOS Stealer(AMOS)をインストールするターミナルコマンドを実行させています。

このキャンペーンは、攻撃者が現在、ソーシャルエンジニアリングと信頼されたプラットフォームを組み合わせて、マルウェア配信を「正常」に見せかけている様子を示しています。

macOSインフォスティーラーは、ブラウザデータ、Keychainの秘密情報、特に暗号通貨ウォレットへのアクセスを盗むことに焦点を当てた、急成長中のアンダーグラウンドビジネスとなっています。

Flareは、macOSステーラーオペレーターが少なくとも103のChrome暗号通貨拡張機能をターゲットにしており、その盗難をLedger、Trezor、Exodusなどのブランドのウォレットをテーマにしたフィッシングと組み合わせていると報告しています。

同じ報告では、フォーラムのアクターが収益分配モデル(暗号通貨盗難で50/50)を宣伝しながら、パートナーに暗号通貨以外の盗まれたログへの完全なアクセスを提供しており、「アフィリエイト」スタイルの配信が現在一般的であることを強調しています。

Google広告からAIトラップへの仕組み

Malwarebytesが分析したインシデントでは、感染チェーンは通常の検索クエリ(例:「macOSのディスク容量を解放」)から始まり、検索結果や広告を通じて表示された汚染されたAIチャットページにユーザーを誘導しました。 ​ 

これらの共有された会話は、被害者にmacOSターミナルコマンドを実行させるステップバイステップの「修正」手順を提示し、その結果AMOSに感染しました。 ​ 

Malwarebytesは、コマンドフローにはbase64デコードと悪意のあるスクリプトのダウンロード(「curl … | bash」スタイルのパターン)が含まれる可能性があり、攻撃者が典型的なアプリインストールレビューステップなしにコードを実行できることを指摘しています。 ​

重要なひねりは信頼性です:悪意のある手順は公開共有リンクを介して正規のAIドメインでホストされており、トラフィックは実際のサポート結果に似たスポンサー配置でブーストされています。

FlareもこれをClickFixスタイルのアプローチとして説明しています:ChatGPT/Grokチャット内に悪意のある手順を投稿し、Google広告を通じて可視性の対価を支払うことで、被害者が最初に「ガイド」に遭遇するようにします。

AMOSの配信トレンドは、別のmacOSシフトと同時に起こっています:マルウェアはAppleの組み込みチェックに正規に見えるインストーラー内に到着することが増えています。

Jamfは、MacSyncサンプルが署名され公証されたSwiftアプリケーションとして配信されており、Developer Team ID GNJLS3UYZ4で署名されたMach-Oが分析時点でGatekeeperを通過できたと報告しました。

Flareのレポートは、これらのサンプルが大きなDMGとおとりコンテンツ、さらに環境チェックを使用して、分析と検出を困難にしていることを追加しています。

注意すべきこと(防御者チェックリスト)

  • ユーザーまたはヘルプデスクスタッフがWebページから「修正」コマンドをターミナルにコピーしている、特にスクリプトをダウンロードして即座に実行するコマンド。​
  • アプリ(「署名済み」のものでも)が、ユーザーが実行しようとしているタスクと一致しないパスワードやアクセスを予期せずプロンプトしている。​
  • 非金融アプリからブロックチェーンインフラストラクチャへの異常なアウトバウンド接続。Flareはこれを一部のインフォスティーラーアクティビティの実用的なハンティング信号としてフラグ付けしています。​

より広い文脈として、GoogleのThreat Intelligence Groupは、金銭的動機を持つアクター(UNC5142)がWordPressサイトを大規模に侵害し、「EtherHiding」(BNB Smart Chain上のスマートコントラクトに保存されたデータ)を使用して回復力のあるマルウェア配信をサポートしていることも追跡しています。2025年6月時点で、このアクティビティと一致するJavaScriptが注入された約14,000の感染ページを特定しました。

これらのケースをまとめると、明確な方向性が示されます:現代のmacOS攻撃は明白な警告に依存していません。信頼された表面(広告、AIチャット、公証、人気のあるWebプラットフォーム)に依存して、ユーザーがためらうかもしれない最後の瞬間を取り除いています。

翻訳元: https://gbhackers.com/macos-amos-stealer/

ソース: gbhackers.com
#AMOS スティーラー #ChatGPT 悪用 #Google広告 詐欺 #macOS マルウェア #セキュリティ脅威 #ソーシャルエンジニアリング #ターミナルコマンド 実行 #仮想通貨盗難 #情報窃盗 #署名マルウェア

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚