別の懸念されるmacOSマルウェアスキームが発見されました—安全を保つ方法

Nuitkaでコンパイル

通常の「ロボットではありません」チェックボックスの他に、CAPTCHAには追加のステップがあります（これは大きな警告信号としても機能すべき）：Spotlightを開き（組み込み検索ツール）、ターミナルを実行し、与えられたコードを貼り付けます。このコードはドロッパーを実行し、次にInfiniti Stealerを配信します。

「ユーザーがコマンドを直接実行するため、多くの従来の防御がバイパスされます」とMalwarebytesは説明しました。「エクスプロイトはなく、悪質な添付ファイルもなく、ドライブバイダウンロードもありません。」

このマルウェアが際立つ理由は、Pythonで書かれているが、Pythonコードをスタンドアロン実行可能ファイルまたは最適化されたバイナリに変換するコンパイラであるNuitkaでコンパイルされているという事実です。

結果として得られるネイティブmacOSバイナリは、研究者によると、一般的なPythonベースのマルウェアと比較して、分析と検出がより困難になります。

「私たちの知識では、これはクリックフィックス配信とNuitkaコンパイルされたPythonスティーラーを組み合わせた最初の文書化されたmacOSキャンペーンです」とMalwarebytesは述べました。

infostealerは、ターゲットデバイスから機密データを流出させるように設計されたマルウェア変種です。通常、ソーシャルエンジニアリングを通じて配信され、infostsealersはドロッパーを通じてインストールされ、ブラウザデータ（クッキー、保存されたパスワード、暗号化通貨ウォレットプラグインなど）パスワード、機密ファイル（.docx、.txt、.pdfおよび他の形式）、および価値があると判断されるその他のファイルを含む、さまざまなタイプの情報を攻撃者が制御するサーバーにアップロードしようとします。

マルウェアのタイプによって、これらはより多くまたはより少ないデータをアップロードしようとすることができ、異なる難読化と永続化メカニズムが付属しています。

フィッシング詐欺とinfostsealersから安全を保つ方法

Infinitiは広範囲の機密データを盗む能力があります。主に、Chromiumベースのブラウザ、およびFirefoxから認証情報を検索します。これはmacOS Keychainエントリ、暗号化通貨ウォレット、.envなどの開発者ファイル内のプレーンテキストシークレットを流出させることができます。最後に、実行中にキャプチャされたスクリーンショットも流出させます。

ソーシャルエンジニアリングは一般的な詐欺戦術であり、フィッシングメールは今もなお最大の攻撃ベクトルです。これらのキャンペーンの被害にならないようにするには、メール、インスタントメッセージング、または電話であるかどうかに関わらず、すべてのすべての受信通信に対して注意と高度なスケプティシズムを行使してください。メール内で共有されているすべてのリンクを二重チェックし、タイプミス、数字で置き換えられた文字、および既知のドメインのその他の疑わしい変動を狩ります。（例えば、microsoftはしばしばフィッシングメールで「M」の代わりに「RN」でスペルされています—rnicrosoft—ほぼ区別がつきません）。

添付ファイルをダウンロードするときに注意してください（特に予期しないメッセージを受け取る場合）。フィッシング対策多要素認証を実行していることを確認してください。