Jamf Threat Labsは、macOSユーザーを標的とするインフォスティーラーマルウェアに関する新たなレポートを公開しました。このレポートでは、2つのマルウェア攻撃について詳細に説明しています。1つ目はAtomic Stealerマルウェアの新たな実装であり、2つ目はオンライン通信ツールへの攻撃です。どちらの攻撃も、アカウントのユーザー名やパスワードなどのユーザーの機密情報や、暗号通貨ウォレットのデータを盗みます。
2024年4月1日午前11時(太平洋時間)更新:Jamfは、App StoreのMeethubアプリに関する当社の問い合わせに対し、「現時点では、Google PlayおよびApple App StoreのMeethubアプリが悪意のあるものであると考える根拠はありません」と回答しました。この記事のMeethubセクションは更新されました。
Atomic Stealerは約1年前に初めて報告され、ユーザーがアプリをダウンロードする際に、署名のないディスクイメージファイル(.dmg)を介して配布されました。Jamf Threat Labsによると、Atomic Stealerは現在、Googleで「Arc Browser」を検索した際に表示されるスポンサーリンクを介して配布されているとのことです。Arc Browserは、The Browser Companyが提供する正規の無料ブラウザで、同社のウェブサイトはarc.netです。
しかし、Googleユーザーが目にする可能性のあるスポンサー広告は、 Arcブラウザの実際のウェブサイトではなく、 ariclまたはairci.netにユーザーを誘導します。ユーザーがブラウザのインストーラだと思ってダウンロードを進めると、アイコンをControlキーを押しながらクリックして「開く」を選択し、インストーラを実行するように指示されます。これはmacOSがGatekeeperを回避するための手段です。Gatekeeperは通常、悪意のあるソフトウェアや署名のないインストーラの可能性がある場合に警告を表示し、インストールを阻止します。
Atomic Stealerがインストールされると、Arcブラウザだと思っているアプリを実行するにはシステム設定を更新する必要があるというプロンプトが表示されます。ユーザーはアカウントのパスワードを入力するよう求められ、マルウェアはキーチェーンのデータにアクセスでき、そのデータは攻撃者のサーバーに送信されます。
本稿執筆時点では、悪質なウェブサイトはホスティングサービスに報告され、削除されたようです。aricl または airci.net にアクセスすると、ウェブホスティングサービスが提供するサーバー管理ツール「FastPanel」のロゴが表示されたウェブページが表示されます。Google がこの悪質な広告の配信を停止したかどうかは不明です。
Meethubマルウェア
Jamf Threat Labsは、meethub.gg上のオンライン会議ソフトウェアを狙った攻撃についても報告しています。攻撃者は標的に連絡を取り、Meethub の使用を要求し、ユーザーはそれをダウンロードします。Atomic Stealer Arc のダウンロードと同様に、ユーザーは「Control キーを押しながらクリック > 開く」を選択してソフトウェアをインストールし、Gatekeeper をバイパスするよう指示されます。
https://twitter.com/NatChittamai/status/1762727722860863537
インストール後、ユーザーはアカウントのパスワード入力を求められます。これにより、マルウェアはキーチェーンと暗号通貨ウォレットのデータにアクセスできるようになります。そして、そのデータは攻撃者のサーバーに送信されます。
JamfのMeethubに関するレポートは、Webからダウンロードされたソフトウェアに関するものですが、App StoreにはiPhoneとMシリーズMacで動作するMeethubアプリが存在します(Google PlayストアにもMeethubアプリがあります)。Macworldからの問い合わせに対し、Jamfは「Google PlayとApple App StoreにあるMeethubアプリが悪意のあるものであると考える根拠は現時点ではありません」と回答しました。
新たなインフォスティーラー攻撃を回避する方法
AppleのGatekeeper機能は、署名のないソフトウェアインストーラの実行をユーザーから防ぎます。ユーザーがインストーラをダブルクリックすると、GatekeeperはAppleが開発者に発行した証明書の有無を確認します。証明書は、開発者が誰であるか、ブラックリストに登録されているかどうか、そしてソフトウェアが開発者から配布されてから改ざんされていないかどうかをAppleに伝えます。ユーザーは、インストーラをControlキーを押しながらクリックし、ポップアップメニューから「開く」を選択することで、Gatekeeperの警告を回避できます。ソフトウェア開発者がこの方法を要求している場合、これは危険信号です。
AppleはOSアップデートを通じてセキュリティパッチをリリースしているので、できるだけ早くインストールすることが重要です。また、ソフトウェアをダウンロードする際は、App Store(ソフトウェアのセキュリティチェックを実施しています)などの信頼できるソースから入手するか、開発元から直接入手してください。Macworldには、ウイルス対策ソフトウェアが必要かどうかのガイド、Macのウイルス、マルウェア、トロイの木馬のリスト、Macセキュリティソフトウェアの比較など、役立つガイドがいくつか掲載されています。
著者: ロマン・ロヨラ、Macworld シニアエディター
ロマンはMacworldのシニアエディターで、30年以上にわたりテクノロジー業界を取材し、MacをはじめとするAppleエコシステム製品を中心に活躍しています。Macworld Podcastのホストも務めています。彼のキャリアはMacUserで始まり、Apple認定修理技術者(当時はAppleがそのような制度を設けていた)として認定されました。MacAddict、MacLife、TechTVでも活躍しています。
