新たに発見されたmacOS情報盗取型マルウェア「Infiniti Stealer」は、詐欺的なCloudflareスタイルのCAPTCHAページを通じて積極的に配布されており、Appleユーザーを狙ったソーシャルエンジニアリング攻撃の注目すべき進化を示しています。
当初、脅威ハンティング活動中に「NukeChain」として追跡されていましたが、その運営者パネルが公開アクセス可能になった後、マルウェアの真の正体が確認されました。
ソフトウェアの脆弱性に依存する従来のマルウェアキャンペーンとは異なり、Infiniti StealerはClickFixとして知られている手法を使用します。
この方法はユーザーを欺いて悪意のあるコマンドを自ら実行させてしまい、多くの従来型のセキュリティ防御をバイパスします。
このコマンドはBase64エンコードされたURLを使用してリモートスクリプトを取得します。実行されると、感染チェーンが静かに開始されます。
ユーザーが手動でコマンドを実行するため、その活動はオペレーティングシステムに対して正当に見え、通常は不正なダウンロードやエクスプロイトにフラグを付ける検出メカニズムを回避します。
レポートによると、攻撃はupdate-check[.]comなどのドメインでホストされている偽の認証ページから始まります。このページは正当なCloudflare CAPTCHAを模倣し、ユーザーにターミナルを開いてコマンドを貼り付けることで身元を確認するよう指示します。
この手法は以前Windowsシステムで一般的でしたが、現在はmacOSに適応されており、CommandキーとSpaceキーを使用してターミナルを起動するなどのプラットフォーム固有の指示が含まれています。
偽のCloudflare CAPTCHA
マルウェアは3つの異なるステージで動作し、各段階は検出を回避し、分析を複雑にするように設計されています。
ステージ1:Bashドロッパー
初期ペイロードはMacSyncなどの初期macOS脅威で使用されたテンプレートに似たBashスクリプトです。
組み込まれたペイロードをデコードし、セカンダリバイナリを/tmpディレクトリに書き込み、xattrを使用してAppleの検疫フラグを削除し、nohup経由でバックグラウンドでファイルを実行します。
また、環境変数としてコマンドアンドコントロール(C2)の詳細を渡してから、自身を削除してターミナルウィンドウを閉じます。
ステージ2:Nuitkaローダー
2番目のステージはNuitkaで単一ファイルモードで構築されたコンパイル済みMach-Oバイナリ(約8.6MB)です。PyInstallerとは異なり、NuitkaはPythonコードをCに変換して、リバースエンジニアリングが大幅に困難なネイティブ実行ファイルを生成します。
バイナリには「KAY」ヘッダーが含まれており、実行時に約35MBの埋め込みデータを解凍した後、最終ペイロードを起動します。
ステージ3:Python Stealerペイロード
UpdateHelper[.]binとして特定された最終コンポーネントは、Python 3.11ベースの情報盗取型マルウェアです。コンパイルされていても、アナリストは公開されたシンボルのおかげでその構造を再構築することができます。
マルウェアはブラウザの認証情報、macOS Keychainエントリ、暗号資産ウォレット、.envファイルに保存されている開発者シークレットなど、幅広い機密データを対象としています。また、実行中にスクリーンショットもキャプチャします。
収集されたデータはHTTP POSTリクエストを介して流出されます。データ盗難を開始する前に、マルウェアはAny.Run、Joe Sandbox、Hybrid Analysis、VMware、VirtualBoxなどの分析環境をチェックし、自動検出を回避するためにランダムな遅延を導入します。
完了すると、Telegramを介して運営者に通知し、盗まれた認証情報をさらなる悪用のためにキューに登録します。
macOSへの増加する脅威
Infiniti Stealerは、攻撃者がmacOSシステムへの焦点をシフトさせていることを強調しており、Appleデバイスはマルウェアに対する耐性が低いという長年の認識に異議を唱えています。
ClickFix配信とNuitkaでコンパイルされたペイロードを組み合わせることで、このキャンペーンはソーシャルエンジニアリングと高度な難読化技術をブレンドした洗練されたアプローチを示しています。
このような偽のCAPTCHAページと対話した可能性のあるユーザーは、直ちに措置を講じるべきです:
- 影響を受けたデバイスを機密活動に使用することを停止します。
- クリーンなシステムからすべてのパスワードを変更し、メール、銀行、Apple IDアカウントを優先します。
- アクティブなセッション、APIトークン、SSHキーを取り消します。
- /tmpおよび~/Library/LaunchAgents/などのディレクトリで疑わしいファイルを検査します。
- 信頼できるセキュリティソフトウェアを使用してシステム全体をスキャンします。
このキャンペーンは、正当なCAPTCHAまたはウェブサイトがユーザーにターミナルにコマンドを貼り付けるよう要求することはないという重要なセキュリティ原則を強化しています。
侵害の指標(IOCs)
| タイプ | 値 |
|---|---|
| MD5ドロッパー | da73e42d1f9746065f061a6e85e28f0c |
| SHA256 ステージ3 | 1e63be724bf651bb17bcf181d11bacfabef6a6360dcdfda945d6389e80f2b958 |
| C2ドメイン | update-check[.]com |
| C2 URL | https://update-check[.]com/m/7d8df27d95d9 |
| C2パネル | Infiniti-stealer[.]com |
| パッカーマジック | 4b 41 59 28 b5 2f fd (KAY + zstd) |
| デバッグログ | /tmp/.bs_debug.log |
| 一時パス | /tmp/.2835b1b5098587a9XXXXXX(固定プレフィックス、ランダムなサフィックス) |
翻訳元: https://gbhackers.com/fake-cloudflare-captcha/
