概要
A newly discovered macOS infostealer malware named Infiniti Stealerは、欺瞞的なCloudflareスタイルのCAPTCHAページを通じて広範に配布されています。この攻撃は、Appleユーザーを標的としたソーシャルエンジニアリング攻撃の進化を示しています。
Infiniti Stealerの特徴
最初に「NukeChain」として追跡されましたが、その操作パネルが公開されたことで本物のアイデンティティが確認されました。このマルウェアはソフトウェア脆弱性を悪用する一般的な攻撃とは異なり、「ClickFix」手法を使用します。
攻撃手順
攻撃は、update-check[.]comなどのドメインでホストされた偽の検証ページから始まります。このページは合法的なCloudflare CAPTCHAを模倣し、ユーザーにTerminalを開きコマンドを貼り付けるよう指示します。
マルウェアの動作
Infiniti Stealerは3つの異なる段階で機能します:
- Stage 1: Bash Dropper
- Stage 2: Nuitka Loader
- Stage 3: Python Stealer Payload
これらのステージは、検出を避けるために設計されています。
攻撃の影響と対策
Infiniti StealerはmacOSシステムに対する脅威が高まっていることを示しています。ユーザーがこのような偽のCAPTCHAページに遭遇した場合、以下のアクションをすぐに実行する必要があります:
- 影響を受けたデバイスで重要な活動を行わない。
- メール、銀行、Apple IDなどのアカウントのパスワードを変更。
- アクティブなセッションやAPIトークン、SSHキーをリVOKEする。
- /tmpと~/Library/LaunchAgents/ディレクトリで不審なファイルがないか確認する。
- 信頼できるセキュリティソフトウェアを使用してフルシステムスキャンを行う。
結論
この攻撃は、macOSデバイスがマルウェアから保護されているという従来の認識を覆すものです。ユーザーは合法的なCAPTCHAやウェブサイトがターミナルにコマンドを貼り付けることを要求することはないことに注意する必要があります。