DigitStealer のような情報盗聴型マルウェアは、アカウント乗っ取り、金銭詐欺、およびアンダーグラウンドマーケットでの販売のために認証情報を収集することで、サイバー犯罪経済を推進しています。
この macOS に焦点を当てたマルウェアは 2025 年後半に発見されて以来注目を集めており、研究者はオペレータエラーを通じてそのコマンド&コントロール(C2)インフラストラクチャを明らかにしました。
DigitStealer の予測可能なサーバパターンは、Apple Silicon デバイスをターゲットとしている単一チームによる操作の可能性を明らかにしています。
Jamf Threat Labs は 2025 年 11 月中旬に DigitStealer を最初に報告し、18 の暗号通貨ウォレット、ブラウザ、macOS Keychain などから盗む多段階設計に注目しました。
DynamicLake のような偽のアプリを通じて拡散し、ユーザーに悪意のある Terminal コマンドを実行させるようにだまします。
このマルウェアは M2+ ハードウェアをチェックし、VM と特定のロケールを回避してから、ペイロード全体をメモリに展開して回避します。
Malware-as-a-Service モデルとは異なり、DigitStealer は共有 Web パネルがなく、1 人または少数のグループによる制御を示唆しています。
Launch Agent を通じて永続性を確立し、C2 サーバーを 10 秒ごとに AppleScript または JavaScript タスクのポーリングを行い、MD5 ハッシュされたハードウェア UUID を送信します。Microsoft と Moonlock の分析により、自己削除前の高価値データ流出への焦点が確認されています。
研究者は X 投稿を通じて DigitStealer の C2 を発見し、@suyog41 による 2026 年 1 月の diamondpickaxeforge[.]com に関する報告から始まりました。これは DynamicLake スプーフを使用していました。
ebemvsextiho[.]com、bottleneckid[.]com、booksmagazinetx[.]com、goldenticketsshop[.]com、fixyourallergywithus[.]com などの他のドメインは、@L0Psec と @malwrhunterteam を含むユーザーから続きました。
すべてのドメインは AS39287(abstract Ltd、スウェーデン)上の IP に解決され、ポート 443 で nginx を実行し Let’s Encrypt TLS を使用し、OpenSSH バージョンを共有しています。SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.14 などです。
Njalla ネームサーバーと Tucows 登録を使用し、ironswordzombiekiller[.]com のようなゲーミングまたは暗号をテーマにしたバッチでよくグループ化されています。
C2 エンドポイントには、盗まれたデータ用の /api/credentials、ファイル用の /api/grabber、バックドアチェック用の /api/poll、流出用の /api/log が含まれます。サーバーはセッショントークンを付与する前に分析対策のための暗号化チャレンジ(特定のパターンへの文字列ハッシング)を発行します。
この一様性(同じ ASN、サーバーソフトウェア、SSH バナー、レジストラ)は、多様な MaaS ユーザーではなく、合理化されたワークフローを指しています。バッチはキャンペーンと一致します:2025 年中盤と 2026 年初め。nginx、.com CN、およびチャレンジのクエリを実行する Python スクリプトは、公開レポート以外の新しい C2 を確認します。
ディフェンダーは Hunt.io 上の SQL ライククエリを通じてハントできます:SELECT * FROM IP WHERE asn=39287 AND port=443 AND headers.server=’nginx’ AND subject.common_name LIKE ‘%.com’。一様性は破壊を支援し、攻撃がスケールする前にアセットを消費します。これらの IOC をブロックし、同様の特性を監視してください。
翻訳元: https://cyberpress.org/digitstealer-targets-macos-devices/