macOSユーザーが、Atomicインフォスティーラーを配布する偽のGitHubページによって騙されるキャンペーンが進行中です。
現在進行中の大規模なキャンペーンで、攻撃者はGitHub Pages上で正規ブランドになりすまし、macOSユーザーをデータ窃取型の「Atomic」スティーラーで標的にしています。
このキャンペーンで実際に標的となったLastPassの最新調査によると、攻撃者はSEOの手口を使い、悪意あるページをBingやGoogleの検索結果の上位に表示させ、ユーザーに本物のソフトウェアをインストールしていると信じ込ませて誘導しています。
「このキャンペーンは、テクノロジー企業、金融機関、パスワードマネージャーなど、さまざまな企業を標的にしているようです」とLastPassはブログ投稿で述べ、標的となった企業のリストを追加しました。「LastPassの場合、偽のリポジトリは被害者候補をAtomicインフォスティーラーのマルウェアをダウンロードするリポジトリへリダイレクトしていました。」
LastPassによると、偽のGitHubサイトが発見され次第、削除申請が行われ、現在これらのページは無効化されています。
攻撃はSEOポイズニングとフィッシングを組み合わせている
攻撃者は、古典的なSEOの手法を用いて、GitHub Pages(開発者やGitHubアカウントを持つ誰もがリポジトリを無料でライブWebサイトにできるサービス)に、企業名に「Mac」や「macOS」といった用語を組み合わせた名前で登録し、検索結果での順位を上げています。
ユーザーがこれらのリンクをクリックすると、まずGitHub Pagesのなりすましページにリダイレクトされ、次にmacprograms-pro.comのような二次サイトに誘導されます。そこで、ユーザーにMacのターミナルにシェルコマンドを貼り付けるよう指示します。このコマンドはbase64でエンコードされたURLへのcurlリクエストを実行し、スクリプトが「Update」ペイロード(Atomicスティーラー本体)をダウンロード・実行します。
LastPassによると、複数のリダイレクトに分割し、最初のホスティングに正規のプラットフォームを利用するのは回避策です。「特に、GitHubページは複数のGitHubユーザー名によって作成されており、削除を回避しているようです」と、広く使われているパスワードマネージャーは付け加えています。
偽のGitHubサイトは削除されたものの、LastPassはキャンペーンが継続中であり、macOSユーザーにとって依然として重大な脅威となり得ると警告しています。
Macが標的に
検索結果を利用してAtomic(AMOS)スティーラーを配布する手口は、今回が初めてではありません。今月初めにも、別のキャンペーンがGoogle広告を使ってマルウェアを配布し、x64またはARMプロセッサ上でのみ巧妙に作動していました。
広く普及し、クローズド設計で知られるAppleのエコシステムは、サイバー犯罪者からの注目が高まっています。今年初め、Huntressは国家レベルの関与が疑われるキャンペーンがmacOSにモジュール型かつ持続性のあるマルウェアを仕込んでいたことを明らかにしました。さらに、Google Meetのエラーを装った誘導でMacユーザーにAMOSを仕掛ける攻撃もありました。
Appleの悩みの種は、ゼロデイ脆弱性の継続的な発見にもあります。先週、クパチーノの巨人は2025年に入って8件目のゼロデイを修正し、2024年の6件を上回りましたが、2023年の20件には及びません。新たな脆弱性が発見されるたびに、機会型・標的型の両方の攻撃キャンペーンに対する攻撃対象領域が広がっています。
LastPassは、github[.]com/lastpass-on-macbook、github[.]com/LastPass-on-MacBook/lastpass-premium-mac-download、ahoastock825[.]github[.]io/.github/lastpassなどのURLや、AtomicペイロードのSHA256ハッシュを含む侵害指標(IoC)のリストを公開しました。
これらのIoCは、セキュリティチームがログをスキャンしたり、アクセスをブロックしたり、侵害の有無を調査したりする際の出発点となります。
ニュースレターを購読する
編集部からあなたの受信箱へ直送
下記にメールアドレスを入力して開始してください。