macOSユーザーをターゲットにした「ClickFix」ソーシャルエンジニアリングキャンペーンの新しい進化。この最新亜種は、ネストされた難読化技術が使用されているため「マトリョーシカ」と呼ばれており、被害者を騙して悪意のあるターミナルコマンドを実行させます。
ClickFix戦略は新しいものではありませんが、マトリョーシカはより強力な回避方法を導入しており、自動化されたサンドボックスおよびネットワークスキャナーによる検出がより困難になっています。
感染チェーンはタイポスクワッティングで始まります。これは、攻撃者が人気のあるウェブサイトの偽バージョンをわずかな、気づかれにくいスペルミスで作成する一般的な戦術です。
たとえば、comparisons.orgにアクセスしようとしたユーザーが、macOSユーザーをターゲットにしたタイポスクワッティングドメインであるcomparisions.orgに誤ってアクセスする場合があります。
サイトは訪問者をトラフィック配信システム(TDS)にすぐにリダイレクトし、コマンドをターミナルにコピーして貼り付けるよう指示するプロンプトを表示します。
このソーシャルエンジニアリング手法は、ユーザーが気づかないうちにターミナルにコマンドを貼り付けることで悪意のあるコマンドの実行を承認するため、ファイルをダウンロードして実行する通常の期待をバイパスします。
マトリョーシカのペイロードは、洗練されたネストされた難読化方法を使用して隠されています。以前のClickFix亜種とは異なり、このバージョンは2段階のラッパーを使用して真の意図をマスクします。
ローダーが正常に実行されると、機密データを盗むために設計された悪意のあるAppleScriptペイロードが取得されます。スクリプトは2つの主な目標に焦点を当てています:
データの収集後、マルウェアはそれを一時ファイル(/tmp/osalogging.zip)にステージングしてから、攻撃者のサーバーにアップロードします。
マトリョーシカ亜種は、シェルコマンド経由でリモートから悪意のあるコードが実行されるファイルレス実行がいかに効果的であるかを示しています。最初は検出が難しいですが、特定の成果物がシステムに残ります:
このアタックに対する最も重要な防御はユーザー教育です。ユーザーは、正当なソフトウェア更新または修正ではターミナルにコードを貼り付けることを要求されないことを認識するように訓練する必要があります。ウェブサイトがユーザーに「このコマンドを貼り付ける」ことを求める場合、それは危険信号として扱うべきです。
企業および組織にとって、特にターミナル経由で開始される疑わしいシェルアクティビティを監視することが重要です。
タイポスクワッティングドメインをブロックし、AppleScriptの実行を監視することも、このタイプのアタックを防ぐのに役立ちます。
ユーザー認識とネットワーク監視などの予防措置は、このような進化する脅威から保護するために依然として不可欠です。
翻訳元: https://cyberpress.org/matryoshka-steals-data-from-macos/