DigitStealer は、予測可能なバックエンド アーキテクチャにより、オペレーターのトレードクラフトにおける深刻なセキュリティギャップを露呈し、ディフェンダーに関連インフラを早期に検出するための明確なパスを提供する、ますます活動を活発化させている macOS インフォスティーラーです。
マルウェア自体は Apple M2 ハードウェア上での高度な回避技術を使用していますが、同じホスティングプロバイダー、ドメインパターン、サーバースタックの厳密な使用により、サポート コマンド・アンド・コントロール (C2) ネットワークの大部分は驚くほど容易にフィンガープリント化できます。
DigitStealer は 2025 年 11 月に Jamf Threat Labs により詳細に公開され、JavaScript for Automation (JXA) ベースの macOS インフォスティーラーとして、18 の仮想通貨ウォレット、ブラウザプロファイル、macOS キーチェーンデータを標的とし、Apple Silicon デバイスに強く焦点を当てています。
通常、DynamicLake などの正規の macOS ユーティリティになりすましている悪意のあるディスクイメージを介して配信され、スプーフィングされたウェブサイトと関連するルアーを通じて配布されます。
実行されると、マルウェアはハードウェアと環境チェックを実行してサンドボックスと仮想マシンを回避し、その後、ディスク上のアーティファクトを制限するためにほとんどのロジックをメモリに保つ段階的な実行チェーンを進めます。
各段階は特定のタスクに焦点を当てています。認証情報盗難、ファイル収集、Ledger Live 改ざん、永続化であり、10 秒ごとに新しい AppleScript または JavaScript ペイロードについて C2 をポーリングするバックドアで終わります。
特に、DigitStealer は「顧客」向けの共有 Web パネルを公開していません。これは多くの Malware-as-a-Service (MaaS) インフォスティーラーと異なり、より閉鎖的で厳密に制御された操作を示唆しています。
最終的なバックドアコンポーネントは、感染した Mac の C2 への MD5 ハッシュ化されたハードウェア UUID を固定ポーリング間隔で送信し、オペレーターに永続的なホスト識別子を提供しながら、ハードウェアの詳細を通信時に不透明に保ちます。
タスキングが受け入れられる前に、C2 サーバーは関連する「複雑さ」レベルを持つ暗号化「チャレンジ」を発行でき、マルウェアに特定のパターンに一致するチャレンジとハッシュされた数値を計算することを要求します。その後初めて DigitStealer は有効なセッショントークンとタスク リストを受け取ります。
脅威狩猟プラットフォームを使用して これらの IP をピボットすると、複数の .com ドメインが共存ホストされているクラスターが明らかになります。nginx HTTPS サーバーはポート 443 上にあり、OpenSSH サービスはほぼ同じバージョン文字列(例:Ubuntu 上の OpenSSH 9.6p1/10.x)を報告しており、同じプレイブックとビルドパイプラインが再利用されていることを強化しています。
WHOIS および DNS レコードはさらにオペレータープロフィールを絞り込みます。ほとんどのドメインは Tucows を通じて登録され、Njalla ネームサーバーで一貫して構成されています。
単一 ASN 優先、均質なサーバースタック、リセラー スタイルパネルの欠如と組み合わせると、これは DigitStealer が単一の俳優または非常に小さなチームにより運営されていることを強く示唆しており、複数のアフィリエイトが独自のホスティングおよび登録戦略を選択する大規模な MaaS エコシステムではなく。
ディフェンダーはこれらの誤りを利用して、C2 エンドポイント特性をチェックするクエリまたはスクリプトを構築し、チャレンジと複雑さのフィールドを公開する JSON レスポンスを探し、Tucows 登録と Njalla ネームサーバーを示す WHOIS データとの肯定的なヒットを相関させることで、規模を拡大して DigitStealer インフラである可能性が高いことをフラグできます。
翻訳元: https://cyberpress.org/digitstealer-exposes-macos-vulnerabilities/