概要
DigitStealerは、macOSを標的にする情報窃取マルウェアであり、そのコマンド&コントロール(C2)セットアップがオペレーターのインフラストラクチャ決定における構造的な弱点を明らかにしています。技術的には高度なエンドポイント対応ですが、同じプロバイダー、プロトコル、および登録パターンを使用するため、バックエンドの大半は通常よりも簡単に特定しやすくなっています。
マルウェアの配布方法
DigitStealerは、偽装されたディスクイメージや不正なWebサイトとインストーラーフローを通じてユーザーを欺いて実行させます。これらの手法には、DynamicLake生産性アプリなどの正当なアプリケーションが含まれています。
マルウェアの機能
- DigitStealerはmacOS自動化とネイティブツールを悪用し、ロジックの大半をメモリ内で実行します。
- マルウェアはブラウザデータやキーチェーンコンテンツ、ファイル、および18種類以上の暗号通貨ウォレットの情報を収集します。
- 環境チェックにより、仮想マシンや古いIntelハードウェアよりもApple Silicon M2やそれ以降のシステムを標的とします。
C2プロトコルと暗号化チャレンジ
DigitStealerは、/api/credentials、/api/grabber、/api/poll、および/api/logなどの固定APIパスを使用してC2エンドポイントに通信します。これらのパスは、マルウェアの内部ワークフローを明確にマッピングしています。
インフラストラクチャ
DigitStealerのインフラストラクチャは、.comドメインや特定のホスティングネットワーク、nginxとOpenSSHのバージョンセットなど、一貫性が高く、これにより関連するサーバーとドメインを簡単にマッピングできます。
結論
DigitStealerは、オペレーターが利便性のために一貫性を選択した結果、脅威インテリジェンスチームがシステム的に追跡できるトレースを残しています。このマルウェアのバックエンドの一貫性は、大規模なマルウェア・アズ・ア・サービス(MaaS)エコシステムでは異例であり、単一のオペレーターや緊密に結びついたグループが制御している可能性が高いことを示しています。