このキャンペーンは、訪問者にTerminalで手動でコマンドを実行するよう指示する詐欺ウェブサイトを使用し、macOSの情報窃取マルウェアであるSHub Stealerを秘密裏にインストールします。
このマルウェアは「保存されたパスワード、ブラウザデータ、Apple Keychain内容、暗号資産ウォレット、Telegramセッションを含む機密データ」を盗みます。Malwarebytes研究者が述べています。
CleanMyMacマルウェアキャンペーンの内部
この攻撃はcleanmymacos[.]orgでホストされているウェブサイトで始まり、MacPawが運用している公式CleanMyMacウェブサイトを厳密に模倣するように設計されたドメインです。
ページは正当な製品サイトに似せてスタイル設定されており、真正性の幻想を強化するために実際のCleanMyMacダウンロードページも参照しています。
一見すると、訪問者は正当なインストールガイドまたは経験豊富なユーザー向けの高度なセットアップオプションにアクセスしていると信じるかもしれません。
しかし、従来のmacOSインストーラーまたはディスクイメージを提供する代わりに、サイトは訪問者にTerminalアプリケーションを開き、コマンドを貼り付けてインストールを完了するよう指示します。
マルウェアの配信方法
ユーザーが指示に従い、コマンドを実行した場合、感染チェーンが直ちに開始します。
コマンドはユーザーが自発的に実行するため、マルウェアはGatekeeper、公証チェック、XProtectを含むmacOSの多くの組み込みセキュリティ保護をバイパスします。
コマンド自体は、アクティビティを正当に見せるように設計された複数のアクションを実行しながら、静かに悪質なペイロードを取得します。
まず、Terminalウィンドウに公式CleanMyMacウェブサイトを参照する行を出力し、出力が正当なインストールプロセスと一貫性があるように見えるようにします。
次に、コマンドはbase64エンコーディングを使用して隠されたリンクをデコードし、真の宛先を気軽な検査から隠します。
最後に、攻撃者が制御するインフラストラクチャからリモートスクリプトをダウンロードし、Zシェル(zsh)に直接パイプして、スクリプトを直ちに実行できるようにします。
この配信方法はClickFixと呼ばれており、macOS情報窃取キャンペーンで使用される技術がますます一般的になっています。
この攻撃はソーシャルエンジニアリングに頼って、被害者に悪質なコマンドを自分で実行させるようにだまし、多くの従来のセキュリティ制御をバイパスできるようにします。
ジオフェンシングとシステムフィンガープリント
スクリプトが実行されると、ターゲットシステムを評価してからさらに進むローダーがインストールされます。
ローダーの最初のチェックの1つは、デバイスのキーボード設定を調べて、ロシア語キーボードがインストールされているかどうかを判断します。
そのような設定が検出された場合、マルウェアは実行を直ちに停止し、ブロックされたイベントを攻撃者のサーバーに報告します。
この動作は、ロシア語を話すサイバー犯罪グループにリンクされたマルウェアでよく見られるジオフェンシングの形式を表しています。
独立国家共同体(CIS)の国のユーザーに属すると思われるシステムを回避することで、攻撃者は現地の法執行機関の注目を集めるリスクを軽減しようとしています。
システムがこのチェックに合格した場合、ローダーはデバイスに関する情報を収集し、コマンド・アンド・コントロール(C2)サーバーに送信します。
データには、システムの外部IPアドレス、ホスト名、macOSバージョン、およびキーボードロケールが含まれます。
各感染システムに一意の識別子が割り当てられ、オペレーターが被害者を追跡し、アクティビティを特定の感染キャンペーンに関連付けることができます。
プロファイリング手順が完了した後、マルウェアは主要なペイロード(正当なシステムオートメーション機能を使用してmacOSと相互作用するように設計されたAppleScriptプログラム)を取得します。
スクリプトが実行する最初のアクションの1つは、それを起動したTerminalウィンドウを閉じ、ユーザーが何か通常でないことを実行したという最も目に見える兆候を削除することです。
認証情報の盗難とデータ収集
その後、マルウェアはユーザーのmacOSログインパスワードを収集しようとします。
これを行うために、「システム環境設定」というラベルの付いたダイアログボックスを表示し、正当なmacOS認証プロンプトに非常に似ており、オペレーティングシステム全体で使用される親しみのあるパドロックアイコンが含まれています。
被害者がパスワードを入力した場合、マルウェアは認証情報を検証し、それらを使用してmacOS Keychain(Appleの暗号化された認証情報ストレージシステム)のロックを解除します。
Keychainへのアクセスにより、攻撃者は保存されたパスワード、Wi-Fi認証情報、アプリケーショントークン、および他の機密情報を取得できます。
パスワードを取得して、マルウェアはシステムの組織的なスウィープを開始して貴重なデータを収集します。
多くのブラウザから保存されたパスワード、クッキー、自動入力情報を抽出し、MetaMask、Phantom、Coinbase Walletなどの暗号資産ウォレットプラグイン用にインストールされたブラウザ拡張機能をスキャンします。
マルウェアはExodus、Atomic Wallet、Ledger Live、Trezor Suiteを含む複数のデスクトップ暗号資産アプリケーションをターゲットにしています。
これらのウォレットに関連付けられたファイルは、他の収集されたデータとともに一時ディレクトリにコピーされます。
収集された情報はアーカイブに圧縮され、攻撃者のサーバーに送信され、攻撃のデータ流出段階が完了します。
macOS攻撃の影響を軽減する
以下の手順は、組織がmacOSマルウェア感染のリスクを軽減し、侵害が発生した場合に迅速に対応するのに役立ちます。
- 信頼できるソース(Mac App Storeまたは公式デベロッパーウェブサイトなど)からのみソフトウェアをインストールします。
- ユーザーにTerminalにコマンドを貼り付けるよう指示するWebサイトはすべて高リスクとして扱い、可能な限りアクセスをブロックします。
- MDMまたはEDR/XDRツールを使用してアプリケーションホワイトリストを実行し、未承認のスクリプトまたはアプリケーションが実行されるのを防ぎます。
- 疑わしいコマンドラインアクティビティ、予期しないLaunchAgentファイル、および他の永続化メカニズムについて監視します。
- DNSフィルタリングまたはネットワークセキュリティ制御を実装して、既知の悪質なドメインをブロックし、異常なアウトバウンドデータ転送を検出します。
- 認証情報またはシードフレーズが公開されている可能性がある場合は、パスワードをローテーションし、APIキーを取り消し、暗号資産資金を新しいウォレットに移動します。
- 定期的にインシデント対応計画をテストし、Infostealer周辺のプレイブックを構築し、攻撃シミュレーションツールを使用してチームがmacOSマルウェア感染を迅速に検出、封じ込め、修復できるようにします。
これらの手順を組み合わせることで、侵害の影響範囲を制限しながらレジリエンスを構築するのに役立ちます。
情報窃取マルウェアの脅威の増加
情報窃取キャンペーンが進化し続ける中で、このような攻撃は、ユーザーが悪質なコマンドを自分で実行するようにだまされた場合、ソーシャルエンジニアリングがいかに強力な組み込みプラットフォーム保護をバイパスできるかを示しています。
組織は信頼されていないスクリプトの実行を制限し、疑わしいアクティビティを監視し、エンドポイント制御を強化してエクスポージャーを軽減することに焦点を当てる必要があります。
組み込み保護をバイパスする脅威が、組織にゼロトラストソリューションの採用を促しています。
翻訳元: https://www.esecurityplanet.com/threats/cleanmymac-imposter-site-installs-shub-stealer-on-macs/
