AppleのmacOSがコンシューマーおよびエンタープライズ環境の両方で拡大するにつれて、MioLab(別名Nova)のような専用の情報盗聴ツールは、Macがもはやニッチなターゲットではなく、サイバー犯罪エコシステムの優先事項であることを示しています。
ロシア語フォーラムでプレミアムなマルウェア・アズ・ア・サービス(MaaS)として販売されているMioLabは、回避的なmacOSバイナリを成熟したウェブパネル、新しいClickFix配信ツール、および暗号資産盗難とチームオートメーションの深いサポートと組み合わせています。
MioLabのコアアーキテクチャは、約100 KBの軽量Cベースのスタブを中心としており、x86_64とarm64の両方のMach‑O万能バイナリとしてコンパイルされており、macOS 11.5以上をターゲットとしています。
バンドルメタデータは「Application」やcom.utils.applicationなどの汎用識別子を使用して、マルウェアが一般的なユーザーインストール環境に溶け込むのを助けています。
内部的には、コードは動的文字列構築と重いXORベースのランタイムデコーディングに依存しており、繰り返されるdecode‑then‑_system()シーケンスを通じて、実行時まで機密コマンドとURLを隠すことを可能にします。
レポートによると、著名なロシア語話者の地下フォーラムで大々的に宣伝されているMioLabは、MacOSマルウェアへの高度に商業化された専門的なアプローチを表しています。
実行時に、MioLabはすぐにソーシャルエンジニアリング駆動の回避と偵察を展開します。
MioLabのmacOS盗聴器
被害者に右クリックして一見合法的なインストーラーを「開く」よう促し、その後Terminalセッションを強制的に終了し、なりすましたシステム環境設定ダイアログを通じてユーザーのパスワードをリクエストし、dscl を使用して認証情報を検証してからsystem_profilerを実行してハードウェア、ソフトウェア、およびディスプレイの特性をプロファイリングします。
その後、マルウェアはosascriptを通じて複雑なAppleScript FileGrabberワークフローを実行し、Desktop、Documents、およびDownloadsから最大10 MBの上限でドキュメントを取得し、Finder経由のアクセスとmacOS TCCプロンプトに依存します。
盗聴ツールのデータ盗難機能は幅広く、収益化に向けて積極的に調整されています。MioLabは、ChromiumおよびGeckoブラウザー(Chrome、Edge、Brave、Opera、Vivaldi、Yandex、Firefox、およびそのフォーク)を体系的に列挙して、Cookie、パスワード、オートフィルデータ、Googleトークン、およびプロファイルアーティファクトを抽出し、Yandexデータストアに対する特定のロジックを備えています。
最近のアップデートは信頼性の高いSafariクッキー収集を追加し、開発者がAppleのネイティブブラウザーのmacOSの透明性と同意制御を回避または悪用する方法を見つけたことを示唆しています。
同時に、マルウェアはmacOSキーチェーン、Apple Notesデータベース、パスワードマネージャー、およびTelegramやDiscordなどのメッセンジャークライアントをターゲットにして、認証情報とセッショントークンを統合します。
暗号資産の盗難はMioLabの定義的な機能のままです。盗聴ツールはMetaMaskやTrust Walletを含む200以上のブラウザベースのウォレット拡張機能をサポートし、Exodus、Electrum変種、Wasabi、およびBitcoin系クライアントなどのデスクトップおよびノードウォレットをwallet.dat、.key、.keys、および関連する構成ファイルを探すことでスキャンします。
プレミアムな「ユニバーサル」ハードウェアウォレットモジュールはLedgerおよびTrezorエコシステムを特に対象とし、最近のベンダーアップデートに適応し、Ledger LiveやTrezor Suiteなどのコンパニオンアプリケーションを通じてBIP39復旧シード24語フレーズをインターセプトしようと試みます。
この組み合わせにより、オペレーターはホットウォレットとコールドウォレットの両方を大規模にドレーンすることができます。
収集されたすべてのアセットはmacOSテンポラリフォルダーのランダム化されたディレクトリの下にステージングされ、MioLabは「User Name.txt」、「User Password.txt」、ブラウザーダンプ、Apple Notesエクスポート、および「User Files」アーカイブなどのファイルを書き込みます。
収集が完了すると、マルウェアはそのディレクトリツリーを単一のZIPに圧縮し、curl POSTリクエストを使用してそれを流出させ、user_idおよびbuild_tagなどのオペレーター定義の識別子とともにアーカイブをコマンドアンドコントロールAPIに送信します。
最後に、Macがアプリケーションをサポートしていないと主張する偽のエラーダイアログを表示し、被害者がプログラムの実行に失敗したと信じるように促します。
インフラストラクチャ側では、MioLabのウェブパネルはトラッカーと大規模な犯罪ウェアチームに合わせた洗練されたエンタープライズのようなUXを反映しています。
新しいClickFixの戦術がMioLabを拡張
ダッシュボードは、細かいログソート、地理またはアセットタイプによる被害者検索、および盗まれたトークンとオプションのプロキシを使用してパスワードや2FAコードなしで被害者セッションを再開するGoogleクッキー復元ツールを提供します。
最近のアップデートはClickFixオートメーションを強調しています。オペレーターはサーバーの詳細を入力することで、ワンクリックで悪意のあるTerminalコマンドを生成でき、その後パネルは偽のCAPTCHAまたはドキュメントページ用にコピー貼り付けに適したペイロードを出力します。
専用プロキシレイヤーにより、各ビルドはアイソレートされたインフラストラクチャを通じて通信でき、テイクダウンとシンクホール化の取り組みが複雑になります。
MioLabの背後にあるエコシステムは、マルウェアおよびフィッシング操作の安全な避難所として文書化されているFEMO IT Solutions / Defhostなどのエンティティに関連する防弾ホスティングインフラストラクチャから恩恵を受けています。
大規模チームはプログラム的にUnix/DMGビルドを生成し、流出したログをダウンロードし、ウェブインターフェースにログインする必要なくインフラストラクチャを管理できます。
OSINTは、MioLabのパネルとビルダーがCloudflareフロント主導のドメインと基盤となるIPをサイクルしていることを示しており、関連インフラストラクチャは同時にパラメータ化されたURLを使用してリアルタイムトークンデータをレンダリングし、ユーザーをウォレット接続に騙すEthereumエアドロップドレイナーをホストしています。
このインフラストラクチャの再利用とローテーションにより、オペレーターは焼かれたパネルをWeb3ドレイナーとして再利用でき、以前のキャンペーンから残された価値を搾り出すことができます。
最新のMioLab波は、コマンドラインツールにおける開発者の信頼を悪用するより広いClickFixトレンドにも乗っています。
セキュリティ研究者は、偽のClaude Codeドキュメントなどのドキュメントポータルの説得力のあるクローンを押し付けるマルバタイジングを観察しています。Windowsの指示は無害ですが、macOSセクションはbase64マスクされたcurlローダーとxattr削除コマンドを通じてチェーンされたMach‑Oバイナリを配信してGatekeeperをバイパスします。
これらのローダーは順番にXOR難読化された二次ペイロードを_system()を通じて実行し、MioLabの静的分析で見られる難読化パターンと密接に一致しています。
ディフェンダーはMioLabを新しいmacOS情報盗聴器のベースラインの代表的な例として扱う必要があります。API駆動、暗号フォーカス、およびClickFixソーシャルエンジニアリングチェーンと緊密に統合されています。
実践的な軽減策には、Terminalの使用ポリシーの強化、dscl、osascript、system_profiler、およびcurlなどのユーティリティの署名なしバイナリによる悪用の検出、およびブラウザープロファイル、Apple Notesデータストア、およびlogin.keychain‑dbへの異常なアクセスの監視が含まれます。
既知のC2ドメインと防弾ホスティング範囲をブロックし、厳密なコード署名を強制し、ドラッグツーターミナルとパスワード収集ルアーについてユーザーを継続的に教育することは、機密認証情報と暗号資産を処理するmacOS環境に必須です。
翻訳元: https://gbhackers.com/miolab-macos-stealer/
