サイバーニュース.jp

世界のサイバーなニュースを配信

MacSync macOSインフォスティーラーが「ClickFix」型攻撃でユーザーを欺く

カテゴリ:

はじめに

macOSユーザーを標的としたMacSyncと名付けられた新たなインフォスティーラー(情報窃取マルウェア)キャンペーンが確認されました。このマルウェアは、暗号通貨ユーザーを狙ったサービスとしてのマルウェア(MaaS)であり、巧妙なソーシャルエンジニアリングと「ClickFix」型の欺瞞的手法を用いて拡散されています。

攻撃チェーンの概要

この攻撃は、まずMicrosoftのログインページを装ったフィッシングサイトから始まります。ユーザーはcrosoftonline[.]com/login[.]srfのようなドメインにリダイレクトされ、そこからさらにmacclouddrive[.]com/s2/という、本物そっくりにデザインされたmacOSクラウドストレージインストーラーページへ誘導されます。

この偽インストーラーページでは、「高度なインストール」を装って、たった一つのターミナルコマンドの実行を促します。あたかもApp Storeでのインストールであるかのように見せかけ、便利なコピーボタンも用意されています。特に「上級ユーザー」向けとしてターミナルインストールセクションが設けられ、従来のダウンロード方法の代替としてこのコマンドを提示します。

多段階の感染経路

第一段階:初期ペイロード

  • 提供されたワンライナーコマンドは、Base64エンコードされたURLを直接Zshにパイプします。
  • これにより、Gatekeeperや公証プロセスを完全に回避し、マルウェアが実行されます。
  • 実行されると、軽量なデーモン化されたZshローダーがダウンロードされ、すぐにバックグラウンドで動作を開始し、ターミナルからの視認性を遮断します。

第二段階:動的ペイロードの配信

  • ステージャは、被害者追跡用のユニークなビルドトークンに紐付けられた/dynamicエンドポイントから、AppleScriptの主要ペイロードを取得します。
  • すべての出力は/dev/nullにリダイレクトされ、サイレント実行を保証しつつ、ハードコードされたAPIキーを通じてC2(コマンド&コントロール)サーバーとの接続を維持します。

第三段階:データ流出

AppleScriptモジュールは、以下の情報の組織的な収集を実行します。

  • Chromium系ブラウザ(Chrome, Brave, Edge, Arc, Vivaldi, Opera, Yandex)のプロファイル
  • MetaMask, Phantom, Binance Wallet, Coinbase Walletなど、25種類以上の暗号通貨ウォレット拡張ID
  • デスクトップウォレットアプリケーション(Exodus, Electrum, Atomic, Wasabi, Bitcoin Core, Guarda)
  • Wi-Fi、アプリケーション、SSHの認証情報を含む完全なKeychainデータベース
  • SSHキー、AWS認証情報、Kubernetes設定
  • TelegramセッションデータおよびApple Notesデータベース
  • デスクトップ、ドキュメント、ダウンロードフォルダ内の任意のファイル

特に重要なのは、このスクリプトが「システム設定」を模倣した永続的なフィッシングダイアログを実装している点です。ロシア語で表示されるこのダイアログは、繰り返しmacOSのログインパスワードを要求し、このパスワードは暗号化されたブラウザデータやKeychainデータのオフライン復号化のために平文で保存されます。

トロイの木馬化による永続性

MacSyncは、特定の状況下でアプリケーションをトロイの木馬化することで、巧妙な永続化メカニズムを実現しています。/Applications/内にLedger Wallet.appまたはTrezor Suite.appが検出されると、ペイロードは悪意のあるバンドルをダウンロードし、部分的または完全に既存のアプリケーションファイルを上書きします。

  • Ledgerの場合:app.asarInfo.plistのみが上書きされ、正規のアプリリソースは維持されるため、検出を最小限に抑えます。新しいバンドルは、一時的なコード署名(ad-hoc code signing)を適用し、標準のGatekeeper検証を回避します。
  • Trezor Suiteの場合:アプリケーションバンドル全体が置き換えられます。

どちらの変種も、エラー回復画面に続いてPINとリカバリーフレーズの収集フォームを提示する、説得力のある多段階のフィッシングウィザードを注入し、ファームウェア修正を装って認証情報を窃取します。

キャンペーンの進化と対策

暗号通貨ユーザーとハードウェアウォレットアプリケーションを標的とすることで、macOSエコシステム内の高価値ターゲットに対する明確な理解が示されています。このキャンペーンでは、一貫した命名パターンを持つ少なくとも8つのC2ドメインが交代で利用されており、複数のパス(/v1/v3)や5つのほぼ同一のクローンサイトが存在し、キャンペーンが進行中であることを示唆しています。各ビルドにはユニークなトークンが割り当てられ、正確な被害者追跡とペイロードのカスタマイズを可能にしています。

従来のバイナリ成果物に依存せず、スクリプトベースの実行に重点を置いているため、検出は非常に困難です。また、条件付きトロイの木馬化により、価値のあるアプリケーションが存在するシステムでのみ長期的なアクセスを確保しています。

ユーザーは、未確認のソースからのコマンド実行には最大限の注意を払い、常に正規のチャンネルからソフトウェアをダウンロード・インストールするべきです。

元記事: https://gbhackers.com/macsync-macos/

投稿をさらに読み込む