- 偽のCleanMyMacユーティリティがSHubインフォステーラーを拡散
- 攻撃がユーザーをだましてターミナルコマンドを貼り付けさせる
- マルウェアが認証情報、暗号資産を盗み、バックドア経由で持続する
macOSの偽のユーティリティプログラムがユーザーをだましてパスワード、機密ファイル、さらにはお金を流出させるインフォステーラーマルウェアをインストールさせていると、専門家は警告しています。
セキュリティ研究者Malwarebytesは述べたところによると、このプログラムはカスタムウェブサイト、有名ブランドなりすまし、ローダー、そして昔ながらのClickFixアプローチも含む、より広い高度に洗練されたキャンペーンの一部でした。
研究者によると、このキャンペーンはMacPawが開発した正規のMac最適化プログラムであるCleanMyMacになりすまし、cleanmymacos[DOT]orgドメインにほぼ同じウェブサイトを作成し、人々がそれを本物と間違えやすくしています。ただし、単にインストーラをダウンロードして実行する代わりに、被害者はターミナルを開いて、サードパーティサーバからペイロードを取得するコマンドを貼り付けるよう求められます。
記事は下に続きます
ファイルの盗取と永続性の確立
「脆弱性を悪用する代わりに、ユーザーをだましてマルウェアを自分自身で実行させます」とMalwarebytesは説明しています。「コマンドが自発的に実行されるため、ユーザーがコマンドを貼り付けてReturnキーを押すと、Gatekeeperや公証チェック、XProtectなどの保護はほとんど効果を提供しません。」
このように インストールされるマルウェアはSHubと呼ばれ、インストール中に被害者のmacOSパスワードを求めます。インストール処理全体が非正統的で、パワーユーザーが行うようなものに見える可能性があるため、ユーザーはそれを標準的な慣行として軽視するかもしれないと、研究者は説明しています。
ただし、パスワードは実際にはSHubにmacOSキーチェーン、Wi-Fi認証情報、アプリトークン、およびその他の秘密鍵へのアクセスを与えます。
「パスワードを手にして、SHubはマシンの体系的な調査を開始します」とMalwarebytesの研究者は述べています。
パスワード、クッキー、自動入力データ、暗号ウォレット拡張機能、iCloudアカウントデータ、Telegramセッションファイル、およびその他の貴重品を盗んだ後、一部の暗号通貨ウォレットアプリを悪意あるコピーに置き換える第2段階バックドアをドロップします。このように、マルウェアは永続性を維持し、さらに追加の暗号盗難を可能にします。
最後に、詐欺師はGoogle更新サービスになりすまして LaunchAgentをインストールします。
「実際には、これは攻撃者に永続メカニズムが発見・除去されるまで、いつでも感染したMac上でコマンドを実行する能力を与えます」とレポートは結論づけています。
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式での開封動画を見たり、WhatsAppで私たちからの定期的な更新を受け取ることもできます。
