notnullOSXと呼ばれる新しいmacOSの脅威が、偽のウォールペーパーアプリと乗っ取られたYouTubeチャンネルを通じて広がっており、オペレーターはソーシャルエンジニアリングを使用して被害者に自分自身でインストールするよう促しています。
このキャンペーンは暗号資産ユーザーを対象としており、ベトナム、台湾、スペインで初期検出が報告されています。
研究者によると、誘い込みは洗練された「WallSpace」ライブウォールペーパーアプリページから始まり、一般ユーザーには正当に見えます。ページとそのインストールフローは、ユーザーがターミナルコマンドを実行するか、悪意のあるDMGファイルを開くように促すように設計されています。
感染チェーンは、製品スタイルのウェブサイト、スクリーンショット、YouTubeビデオなどの単純な信頼シグナルを使用して、疑惑を低下させます。
キャンペーンのYouTube側は特に効果的です。古いチャンネルで履歴が少ないため、新しく作成されたものよりも信頼できるように見える可能性があります。
そのチャンネルは偽のウォールペーパーサイトに直接リンクし、マルウェア配信ページへのトラフィックを促進しました。
この種の悪用は、ソーシャルプラットフォームがコンテンツが一見無害に見える場合でも、マルウェア配信のチャネルにどのように変えられるかを示しています。
マルウェアは永続性とコマンドアンドコントロール機能も使用しており、単純な1回限りのスティーラーより多くの機能があります。
攻撃の主要な部分は、macOS Full Disk Accessを中心とするソーシャルエンジニアリングです。これはマルウェアに保護されたユーザーデータへの広い可視性を与えます。
オペレーティングシステムを直接悪用する代わりに、攻撃者は被害者にアクセス権を自分で付与するよう説得します。システム権限が強制されるのではなく、ユーザーが承認したように見えるため、このキャンペーンを停止しにくくなります。
キャンペーンは選別的でもあります。報告によると、オペレーターは対象が少なくとも10,000ドルの暗号資産を保有しているように見える場合にのみ進みます。これは、広範な無差別攻撃ではなく、意図的な高額窃盗戦略を示唆しています。
偽の製品サイトは、特にYouTubeビデオと見た目がきれいなダウンロードページと組み合わせると、説得力があるように見えることができます。
セキュリティチームは、Full Disk Accessを付与する異常なリクエストも監視する必要があります。その権限は広範な機密ファイルを公開する可能性があるため。
防御者にとって、ドメイン評判チェック、ブラウザ分離、エンドポイント監視、ユーザー認識トレーニングの組み合わせがここで重要です。
notnullOSXケースは、現代のmacOSマルウェアがフィッシング、プラットフォーム悪用、インストール後のデータ盗難を1つのキャンペーンに組み合わせる方法を示しています。
翻訳元: https://cyberpress.org/hackers-hijack-youtube-spread-malware/