かつてMacユーザーは自分のデバイスがマルウェアから安全だと信じていました。今や、サイバー犯罪者はChatGPTやGoogle広告のような信頼されたプラットフォームを使用してAMOS infostealerを拡散し、macOS上の機密データを標的にしています。
攻撃者は、ディスク容量の修正や「ChatGPT Atlas」のようなブラウザインストールを装った、ステップバイステップのガイド付きでChatGPT上で偽の共有チャットやGrokを作成します。これらのチャットは、ユーザーを騙して悪意のあるターミナルコマンドを貼り付けさせます。
彼らは有料のGoogle広告を通じてこれらのチャットを宣伝し、スポンサーリンクをchatgpt.comドメインの検索結果の上部に表示させます。
サイバー犯罪者は、BDFClubのようなフォーラムでmacOS stealerの活発な市場を運営しています。
ユーザーValhall88は2026年1月31日に投稿し、Ledger、Trezor、Exodus、Atomicを含む103のChromeクリプト拡張機能を標的とするstealerの開発を支援するパートナーを求めました。彼らは暗号通貨窃盗で50/50の分配を提供し、パートナーがパスワードなどの他のデータを保持できるようにしています。
AMOSは基本的なターミナルのトリックから高度な方法へと進化しました。ClickFixスキームを使用し、ユーザーがパスワードを入力した後にマルウェアをダウンロードして実行するスクリプトを実行させます。このstealerはリモートコントロール用のバックドアもインストールし、再起動時に自動起動します。
MacSyncのようなツールはGatekeeperをバイパスします。盗まれたApple開発者署名、例えばチームID GNJLS3UYZ4を使用します。
Jamfは、チェックを通過した後にstealerをドロップする公証されたSwiftアプリをDMGファイル内で発見しました。Appleは報告後に証明書を取り消しましたが、攻撃者はこれを繰り返すために認証情報を盗んだり購入したりします。
UNC5142のようなグループは、2023年以降14,000のWordPressサイトを侵害しました。彼らはコマンド&コントロールのためにBNB Smart Chain上でEtherHidingを使用し、正当なWeb3トラフィックに紛れ込むブロックチェーンコントラクト内にペイロードを隠します。
クリプトユーザーはMacを好み、一度盗まれると回復できないシードフレーズのような大きなウォレット価値を保存しています。AMOSはウォレット(Electrum、MetaMask、Exodus)を優先し、アラートを避けるためにTrezorのリカバリーフレーズを検証し、窃盗後もExodusが正常に動作するようにします。
広告からのターミナルコマンド、パスワードを要求する未署名のアプリ、非クリプトアプリからのブロックチェーンリンクに注意してください。アンチウイルスソフトウェアを使用し、未知のコードを貼り付けることを避け、実行前に疑わしい指示をAIで確認してください。
この成熟した業界は、パネルとロードマップを備えた正規のソフトウェアのように運営されています。Macには今、macOS固有の防御が必要です。
翻訳元: https://cyberpress.org/cybercriminals-exploit-chatgpt-google-ads/