Appleの市場シェアがソフトウェアエンジニア、経営幹部、暗号資産投資家などの高価値ターゲット間で増加し続けるにつれて、脅威行為者はmacOS環境にますますその焦点をシフトさせています。
MioLab(Novaとしても追跡されている)などのプレミアム「Malware-as-a-Service(MaaS)」プラットフォームは、macOSが「攻撃するには小さすぎる」から高度な回避技術を要求するプライマリターゲットへと移行したことを示しています。
ロシア語話者の著名なアンダーグラウンドフォーラムで大々的に宣伝されているMioLabは、macOSマルウェアに対する高度に商業化された専門的なアプローチを表しています。
軽量のペイロードと包括的なウェブパネルを組み合わせることで、MioLabは攻撃者に機密ブラウザデータを収集し、高価値の暗号ウォレットを枯渇させ、カスタマイズ可能なソーシャルエンジニアリング誘引を使用してmacOSセキュリティメカニズムを回避する機能を提供します。
MioLabは、約100KBの高度に回避的で軽量なCベースのペイロードを特徴とし、SierraからTahoeのmacOSバージョン全体にわたってレガシーIntelと最新のApple Siliconアーキテクチャの両方をネイティブにサポートしています。
Gatekeeperおよび他のmacOSセキュリティ境界を回避するために、オペレーターはビジュアルビルダーを使用して説得力のあるDMGインストールウィンドウを設計し、ソーシャルエンジニアリングプロンプトに大きく依存しています。
マルウェアはローカル認証情報をキャプチャするために、偽のシステムエラーメッセージと管理者パスワードリクエストを生成します。
実行されると、macOSターミナルを強制終了し、AppleScriptを使用してパスワード入力をマスクする欺瞞的なダイアログを表示します。ローカルディレクトリサービスに対して認証情報を検証した後、マルウェアは体系的に広範なシステムプロファイリングデータを収集します。
MioLabはオペレーターに、大規模なサイバー犯罪キャンペーンを管理するために設計されたエンタープライズグレードのウェブパネルを提供します。
このダッシュボードは、高度なログソート、チームAPI統合、盗まれたトークンを使用してハイジャックされたGoogleセッションを復元するためのプロキシサポート付きの組み込みツールを提供し、二要素認証なしでアカウントテイクオーバーを可能にします。
インフラストラクチャは高度に耐性があり、FEMO IT Solutionsなどのプロバイダーから専用プロキシレイヤーと防弾ホスティングを使用して、コールバック成功率を向上させ、ネットワークベースの検出を回避しています。
最新のMioLabアップデートの定義的な特徴は、ClickFixユーティリティの統合です。コマンドアンドコントロールパネルには、偽のCAPTCHAページの悪意のあるターミナルコマンドを自動的に生成するワンクリックツールが含まれています。
すべてのトラフィックを収益化するために、オペレーターはインフラストラクチャをWeb3イーサリアムドレイナーにリンクさせており、ローテーションされたドメインからの残存トラフィックでさえ、カスタマイズされたフィッシングリンクを通じて搾取されることを確認しています。
セキュリティ専門家は、dscl やosascript などの機密性の高いシステムユーティリティの厳密な監視、コード署名の実装、堅牢なユーザー認識トレーニングの実装を推奨して、これらの洗練されたソーシャルエンジニアリング戦術から防御しています。
翻訳元: https://cyberpress.org/miolab-stealer-expands-tactics/