新しいmacOSマルウェアキャンペーンが、ソフトウェアの脆弱性ではなく開発者の習慣を悪用しています。セキュリティ研究者は、人気のあるHomebrewパッケージマネージャーのインストーラーになりすまして、新しいinfostealer「Cuckoo Stealer」を配布するClickFixキャンペーンを発見しました。
ClickFixはソーシャルエンジニアリング技術です。macOSの保護を直接ハックする代わりに、攻撃者はユーザーに悪意のあるコマンドを自分で実行させるように騙します。
被害者は正当に見える偽のソフトウェアページにアクセスし、便利な「コピー」ボタン付きのインストールコマンドを見ます。これをターミナルにコピーして貼り付けると、攻撃はユーザーの完全な権限で実行されます。
この事件では、攻撃者は公式Homebrewサイトに非常に似たタイポスクワットドメインを作成しました。ページには通常のインストールコマンドに見えるものが表示されます:
正当なHomebrewコマンドは信頼できるGitHubソースからダウンロードしています。
悪意のあるバージョンは、トラフィックを静かに攻撃者が制御するサーバーにリダイレクトします。違いはわずか数文字で、一見すると見逃しやすいものです。
このテクニックは、開発者や管理者に対して特に効果的です。彼らは日常的にcurlとbashを使ってツールをインストールしているためです。-fsSLのような見慣れたフラグを見ると、コマンドが本物に見えます。
実行後、スクリプトは隠された認証ループを実行します。正しい認証情報が入力されるまで、macOS Directory Services (dscl authonly)を使用してユーザーにパスワードを繰り返し促します。プロンプトは通常のsudoリクエストと同じに見えるため、被害者はめったに疑いません。
有効なパスワードがキャプチャされると、スクリプトは第2ステージペイロードCuckoo Stealerをダウンロードし、静かに起動します。
研究者は、共有インフラストラクチャでホストされている複数の関連ドメインを発見し、単一のフィッシングページではなく、組織化された操作を示しています。インフラストラクチャ検索では、macOSを対象とした同様のClickFixページが数十個見つかり、配信トレンドの増加を示しています。
Cuckoo Stealerは単純なパスワードスティーラーではありません。これは、リモートアクセストロージャン(RAT)機能と組み合わされたフル機能のmacOS infostealerです。
感染直後、マルウェアはmacOSの隔離属性を削除してセキュリティ警告を避け、com.homebrew.brewupdater.plistという名前のLaunchAgentを使用してpersistenceをインストールします。これにより、ユーザーがログインするたびにマルウェアが自動的に実行されます。
マルウェアは、X25519鍵交換を使用した暗号化されたHTTPSを介してコマンド・アンド・コントロールサーバーと通信し、攻撃者がデバイスをリモート制御できるようにします。
シェルコマンドを実行したり、ファイルを閲覧したり、システムを再起動したり、証拠を消すために自分自身を削除することもできます。
研究者は地域フィルタリング機能に注目しました。特定のCIS言語設定で構成されたシステムはスキップされ、これは組織化されたサイバー犯罪グループでよく見られる動作です。
このキャンペーンは重要なセキュリティの教訓を浮き彫りにしています。現代の攻撃はますます人間の行動に依存しています。
コマンドは正当に見え、ページは本物に見え、macOSの保護は技術的には「バイパス」されませんでした。代わりに、ユーザーは知らずに感染を自分たちで承認しました。
翻訳元: https://cyberpress.org/clickfix-homebrew-cuckoo-stealer/