最近のサイバーセキュリティ研究において、TrendAI™はAtomic Stealer(AMOS)マルウェアの配布方法に不安な変化を特定しました。
従来、Appleデバイスから機密データを盗むために設計されたマルウェア・アズ・ア・サービス(MaaS)であるAMOSは、クラックされたmacOSソフトウェア経由で配布されていました。
しかし、トレンドは進化し、攻撃者がOpenClawスキルを使用してユーザーをだまし、手動でパスワードを入力させることで、最終的にデバイスをAMOSで感染させるようになりました。
OpenClawは、タスクを実行するためにさまざまな「スキル」を実行できるAIエージェントプラットフォームです。この新しい攻撃ベクトルでは、AMOSはマルウェアをインストールするためにAIエージェントを操作する悪意のあるOpenClawスキル経由で配信されます。
このスキルは最初は無害に見え、指示は問題なく見え、VirusTotalスキャンに合格します。しかし、AIエージェントがこれらの指示に従うと、ユーザーのシステムに偽のコマンドラインインターフェース(CLI)ツールをインストールし、その後AMOSマルウェアをインストールします。
GPT-4oなどの使用されるモデルに応じて、マルウェアはサイレントにインストールされるか、ユーザーに悪意のある「ドライバ」をインストールするよう繰り返しプロンプトを表示する可能性があります。
これはAMOSで使用される戦術、技術、手順(TTPs)における重大な進化であり、従来のソーシャルエンジニアリングからAIベースの操作への移行を示しています。
悪意のあるスキルがインストールされると、IntelおよびApple Siliconベースの両方のMac上で実行できるMach-Oユニバーサルバイナリファイルのダウンロードがトリガーされます。
このバイナリは、Appleの認証情報とKeePassキーチェーン、デスクトップ、ドキュメント、ダウンロードフォルダのファイル、Apple Notesのデータなど、幅広い機密データを盗むように設計されています。
さらに、マルウェアは19の異なるブラウザから、保存されたパスワードと自動入力データを含むシステム情報とその他の認証情報を収集できます。
盗まれたデータは圧縮されリモートコマンド・アンド・コントロール(C&C)サーバーにアップロードされ、そこでサイバー犯罪者がアクセスできます。
この流出には、個人ファイルだけでなく、秘密鍵、証明書、暗号通貨ウォレットの認証情報などのより重大な情報も含まれます。
TrendAI™は、その顧客がこの進化する脅威から保護されることを保証するための措置を講じています。
組織にとって、未検証のOpenClawスキルを制御された環境でテストすることが重要です。
TrendAI™は、AIベースの攻撃のリスクを軽減するために、隔離されたテスト機とコンテナを使用することを推奨しています。堅牢なセキュリティ対策を採用し、継続的な監視を活用することで、企業は進化する脅威の状況からより良く身を守ることができます。
AMOSは新しい脅威ではありませんが、その運営者はマルウェアを配布する方法の革新を続けています。クラックされたソフトウェアから毒入りAIエージェントスキルまで、攻撃者は絶えず彼らの戦術を進化させています。
TrendAI™のMDRソリューションは、そのような脅威をリアルタイムで特定および中和し、大規模なデータ漏洩を防止し、損害を最小化するために重要です。
翻訳元: https://cyberpress.org/openclaw-installs-amos-malware/