macOSユーザーを大規模に狙う新しいマルバタイジングキャンペーンが発見されました。AMOS「malext」情報盗難マルウェアを配信するために偽のテキスト共有広告を利用しています。
Google広告と欺瞞的なクリックベイト記事を組み合わせたこのキャンペーンは、ソーシャルエンジニアリングを通じてmacOSデバイスを侵害することを目指しています。
このブログ記事では、最初の侵害されたGoogle広告から最終的なペイロード配信まで、キャンペーンのステップを分析し、ユーザーがそのような脅威から身を守る方法を強調しています。
リンクはmacOSのストレージ容量を解放することについての一見有益なMedium記事に導きました。ただし、ターミナルにコピー&ペーストされた場合に管理者権限をリクエストするシェルコマンドを含んでいました。
被害者がコマンド入力後、システムがmacOS管理者パスワードを何度も求めてきたとき疑いを持ち、ちょうど間に合って操作を中止しました。
攻撃に使用された悪意のある記事と関連ドメイン(optimize-storage-mac-os[.]medium[.]com、octopox[.]com、vagturk[.]com)は調査が始まった時点で既に削除されていました。
初期の指標を特定した後、PaPPyと私はキャンペーンへのより深い調査を開始しました。
Googleの公開広告ライブラリを使用して30以上の広告キャンペーンを発見しました。攻撃者が継続的に様々な侵害されたGoogleアカウントを循環させていたことを示しています。
これらの広告はmacOSの一般的な問題への解決策を提供すると主張する偽のMedium記事をよく宣伝していました。ただし、詳しく調べてみると、ユーザーは悪意のあるコンテンツをホストしているサイトに導かれました。
Medium以外に、攻撃者はEvernote、kimi.com、mssg.meを含むいくつかの他のプラットフォームを使用して、偽の記事を配布し、操作をスケーリングしました。T
he広告は正当に見えましたが、そのコンテンツはユーザーを欺いて悪意のあるコマンドを実行させるように注意深く作成されており、最終的にAMOS「malext」情報盗難マルウェアのインストールに至りました。
偽の記事は非常に似たテンプレートを使用し、多くの場合macOSのトラブルシューティングまたはソフトウェアツールのインストールに焦点を当てていました。
攻撃者は単純だが効果的な戦術を使用しました。ユーザーが簡単に従うことができるコピー&ペースト端末コマンドを提供しました。
これらのコマンドには難読化されたコードが含まれており、デコードされると、悪意のあるAMOS「malext」ペイロードを被害者のマシンにダウンロードしました。
マルウェアのペイロードはmacOSバイナリであり、サンドボックスとアンチウイルスソフトウェアの両方による検出を回避するために注意深く作成されました。
このマルバタイジングキャンペーンは、攻撃者がその戦術をどのように進化させているか、広く信頼されているプラットフォームと高度なソーシャルエンジニアリングを使用して危険なペイロードを配信している方法の明確な例です。
警戒を怠らず、ベストセキュリティプラクティスを適用することで、macOSユーザーはそのような攻撃の被害を受けるのを防ぐことができます。
翻訳元: https://cyberpress.org/malvertising-spreads-amos-infostealer/