偽のCleanMyMacサイトがSHubスティーラーを拡散、暗号通貨ウォレットを標的にする
ハッカーが偽のCleanMyMacダウンロードページを利用して、macOSユーザーにSHubスティーラーを感染させる攻撃を展開しています。この強力な情報窃取マルウェアは、暗号通貨ウォレットを空にするだけでなく、機密データを奪取します。
攻撃の手口
攻撃者は、ユーザーに「高度な」インストール手順を表示し、ユーザーに「ターミナルを開き、次のコマンドを貼り付け」と指示します。これは、最近のMac向けキャンペーンで見られる「ClickFix」手法と呼ばれるパターンです。
- 実際のCleanMyMacのURLを参照するように装う。
- ベース64でエンコードされたリンクをデコードし、攻撃者のサーバーからシェルスクリプトをダウンロード。
- ユーザーがコマンドを実行するため、macOSの保護機能(ノータリゼーションチェックやXProtect)はほとんど効果がありません。
偽のサイトと攻撃の仕組み
攻撃者は、cleanmymacos[.]orgという偽のサイトを使用し、公式のCleanMyMac製品ページを模倣していますが、MacPawや公式アプリへのリンクはありません。
- システムが通過すると、デバイスプロファイルデータと一意のビルドハッシュをC2サーバーに送信。
- AppleScriptペイロードを取得し、ターミナルウィンドウを閉じ、偽のmacOS「システム設定」パスワードプロンプトを表示。
データの窃取とバックドアの設置
SHubは、14のChromiumベースのブラウザやFirefoxの保存されたパスワード、クッキー、自動入力データを含む、102の既知の暗号通貨ウォレット拡張機能や23のデスクトップウォレットからデータを収集します。
- 収集したデータはZIPファイルに圧縮され、C2サーバーにアップロード。
- 特定のElectronベースのウォレットに対して、バックドアを設置し、パスワードやシードフレーズを定期的に送信。
攻撃の対策
ユーザーは、公式のApp Storeや公式サイトからソフトウェアをインストールするべきです。ウェブページからターミナルにコマンドを貼り付けることを要求するサイトは、重大な警告信号と見なすべきです。