新しいmacOSマルウェアキャンペーンが、ユーザーを騙して自分のシステムに感染させるために偽のCleanMyMacウェブサイトを使用しています。
通常のアプリダウンロードを提供する代わりに、このサイトは訪問者にTerminalを開いてコマンドを貼り付けるよう指示します。
そのコマンドは、パスワード、ブラウザーデータ、Apple Keychain内容、暗号ウォレット、メッセージングセッションを対象とするために構築されたデータ盗難マルウェアファミリーであるSHub Stealerを静かにインストールします。
偽のサイトはMacPawまたは正規のCleanMyMac製品と関連がありません。その主なトリックはシンプルですが効果的です。インストールプロセスを経験ユーザー向けの高度なオプションのように見せます。
被害者がコマンドを貼り付けた後、正当に見えるメッセージを出力し、隠されたリンクをデコードし、攻撃者が制御するサーバーからシェルスクリプトをダウンロードし、zshを通じてすぐに実行します。
ユーザーが自発的にコマンドを実行するため、Gatekeeperと公証確認などの多くのmacOS保護がほぼ回避されます。Malwarebytesが報告しているように。
この攻撃はClickFixとして知られている方法を使用しており、被害者はソーシャルエンジニアリングによって手動でマルウェアを実行するよう誘導されます。起動されると、第1段階のローダーは続行する前にデバイスをチェックします。
初期チェックの1つは、Macのロシアンキーボードレイアウトをスキャンします。見つかった場合、マルウェアは停止し、イベントをサーバーに報告します。このようなジオフェンシングは、ロシア語を話すサイバー犯罪者にリンクされたマルウェアでよく見られ、彼らはしばしば自分の地域のシステムへの感染を避けます。
ターゲットがチェックに通過した場合、マルウェアは外部IPアドレス、ホスト名、macOSバージョン、キーボードロケールなどのシステム詳細をそのコマンドアンドコントロールサーバーに送信します。
その後、メインのAppleScriptペイロードをダウンロードし、Terminalウィンドウを閉じて攻撃の痕跡を隠し、偽のシステム環境設定パスワードプロンプトを表示します。
ユーザーが正しいmacOSパスワードを入力した場合、SHubは保存されたパスワード、Wi-Fi認証情報、トークン、秘密鍵を保存するKeychainへのアクセスをアンロックできます。
その後、マルウェアはChromiumベースのブラウザー、Firefox、Safari、Telegram、Apple Notes、iCloudデータ、シェル履歴ファイル、開発者構成ファイルからデータを収集します。
また、Exodus、Atomic Wallet、Ledger Live、Ledger Wallet、Trezor Suiteなど、暗号ウォレットブラウザー拡張機能とローカルウォレットアプリケーションも探します。
SHubは単純な盗難以上のことを行います。特定のウォレットアプリを見つけた場合、そのコア論理ファイルをバックドア版に置き換えることができます。
これらの修正されたアプリは、次にユーザーがウォレットをアンロックするか偽のリカバリーフローに従うときに、ウォレットパスワードとseed phraseを盗むように設計されています。
マルウェアはまた、永続性を維持し、リモートコマンドを受け取るために、偽のGoogle Keystone LaunchAgentをインストールします。
このキャンペーンは、macOS脅威がいかに高度になっているかを示しています。主な警告サインは明確なままです。正規のアプリがユーザーにTerminalにインストールコマンドを貼り付けるよう求めることはめったにありません。
翻訳元: https://cyberpress.org/shub-targets-crypto-wallets/