- Sophosが複数のmacOS ClickFixキャンペーンについて警告
- 偽のAIツール、ChatGPT会話、Appleサイトを使用したMacSync情報盗聴ツールの拡散
- 最新バリアントはローダー、AppleScript、メモリ内実行を採用してステルス性を実現
セキュリティ研究者は、macOSユーザーを狙う継続中のマルウェアキャンペーンの増加について警告しており、悪質な広告、正当なホスティングサービス、ブランド偽装、偽のChatGPT会話、そして古風なソーシャルエンジニアリングを活用して被害者に感染させています。
Sophosからの新しいレポートによると、過去3ヶ月間に少なくとも3つの異なるClickFixキャンペーンが実行されていたとのことです。ClickFixは既知の手法で、詐欺師がユーザーに偽の問題を提示するとともに、解決策を提供します。これは偽のCAPTCHAから「ロック済み」ドキュメントまで様々なものが考えられます。
いずれにしても、この「問題を「解決する」には、MacSync情報盗聴ツールをダウンロード・インストールするターミナルコマンドを実行する必要があります。
記事は以下に続きます
macOSは頻繁なターゲット
最初のキャンペーンでは、「問題」はAIブラウザのインストールでした。特定のキーワードを検索するユーザーは、Google検索結果の上部に広告が表示され、sites.google.comでホストされている偽のブラウザダウンロードページにアクセスさせられます。
このサイトは本物に見え、OpenAIのChatGPT Atlasを模倣していますが、ダウンロードするにはユーザーはターミナルを開いて特定のコマンドを貼り付けるよう指示されます。
2番目のキャンペーンはウェブサイトに依存するのではなく、代わりにChatGPT会話を作成するという点でやや異なります。
このツールとの各会話には一意の識別子があり、「共有」機能を使って他のユーザーと共有できます。詐欺師は、「Mac システムクリーナーアプリ」などをダウンロードする方法を指示する会話を作成し、繰り返しますが被害者を情報盗聴ツールのダウンロードにはめて、その会話をGoogle上で広告宣伝して知覚される正当性を向上させています。
Sophosレポートで説明されている3番目のキャンペーンは正当なAppleサイトになりすまし、MacSync情報盗聴ツールの大幅に進化したバリアントを配信します。初期のキャンペーンとは異なり、このキャンペーンはマルチステージローダー・アズ・ア・サービスモデル、動的AppleScriptペイロード、メモリ内実行を使用してステルス性と永続性を最大化しています。
「macOSがWindowsと比べてマルウェア感染のリスクが低いというのが、かつての通説でした。ネイティブセキュリティ機能スイートが脅威アクターに異なる、時には技術的に困難な手法を採用するよう強制したためです」と研究者は説明しています。
「それはもはや当てはまりません(そして何年も前からそうではありません、2024年9月に述べたように)。主流のマルウェアは現在、定期的にmacOSユーザーに影響を与えています。特に情報盗聴ツールに関しては、テレメトリで見られるmacOS検出全体の重要な部分を定期的に占めています。脅威ランドスケープのこの領域は急速に進化し続けると予想していますが、いつものように、Sophosもそれとともに進化します。新しいバリアントの監視を継続し、必要に応じて保護・検出情報を更新し、データが利用可能になったら脅威ランドスケープのこの側面に関する研究を発表します。」
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、動画形式のアンボックスを見ることもでき、WhatsAppでも定期的にアップデートを受け取ることができます。
