概要
大規模なマルウェア広告キャンペーンが、macOSユーザー向けの偽のGoogle広告を通じて展開され、悪意のあるテキスト共有サイトに誘導しています。これらの罠はAMOS情報窃取型マルウェアの変種「malext」を配布し、ブラウザ資格情報や暗号ウォレットなどの機密情報を盗みます。
キャンペーンの詳細
不審なパスワード入力画面が停止したことで、攻撃が明らかになりました。初期ドメインにはoptimize-storage-mac-os[.]medium[.]comやoctopox[.]comなどが含まれています。
- Google広告ライブラリ: 34以上の広告がMedium.comの罠を推進しており、攻撃者は迅速に禁止されたアカウントを置き換えました。
- 分析結果: 50を超える侵害された広告アカウントが見つかり、クルーズ船の広告アカウントも含まれていました。このアカウントはmacOS USBアップグレードを推奨していました。
- 類似した広告: Evernote.comやmssg.me、kimi.comなどのプラットフォームでも同様の広告が確認されました。
攻撃の展開方法
研究者@itspappyとGi7w0rmは、ユーザーがmacOSストレージ修正を検索し、Googleのトップ結果から偽のMedium記事にクリックしたことでこの攻撃を発見しました。
- 罠: macOSのトラブルシューティングガイドやソフトウェアインストールを模倣しています。ページには「これがXを修正する方法です」といったヘッドラインが表示され、ユーザーにターミナルコマンドをコピーして貼り付けるよう促します。
- 攻撃の仕組み: Base64で暗号化されたcurlチェーンを使用し、xattr -cコマンドで quarantine属性を取り除き、Gatekeeperを回避します。一部のチェーンでは管理者パスワードをループで要求し、~/.passに保存して後でsudoを使用するようにします。
攻撃の詳細
このマルウェアは、x86_64とARMに対応したMach-Oバイナリをダウンロードし実行します。AppleScriptを使用して仮想マシンやsandboxチェックを行い、VMwareやQEMUなどの仮想環境を検出します。
- マルウェアの動作: Apple Notes DB、Safariクッキー、デスクトップ/ドキュメントファイル(txt/pdf/docx/walletなど最大30MB)、OpenVPNプロファイル、Telegramデータ、インストール済みアプリリストを盗む。
- 持続性とバックドア: Ledger/Trezorアプリケーションをトロイの木馬化し、LaunchDaemon com.finder.helper.plistを使用してリモートコントロールを可能にします。