概要
AppleのmacOSの使用が消費者と企業環境で拡大している中、情報窃取マルウェアであるMioLab(別名Nova)は、Macがサイバー犯罪エコシステムにとって優先的な標的となっていることを示しています。
MioLabの特徴
MioLabは、ロシア語圏の地下フォーラムで広く宣伝されている高品質なマルウェアとして知られています。このツールは、エボーシブなmacOSバイナリと成熟したWebパネルを組み合わせており、クリックフィックス配布ツールや暗号通貨窃取機能、チーム向けの自動化サポートも提供しています。
アーキテクチャ
MioLabのコアアーキテクチャは、軽量なCベースのスタブで構成され、x86_64とarm64の両方に対応するMach-Oユニバーサルバイナリとしてコンパイルされています。このスタブは約100KB程度で、macOS 11.5以降をターゲットにしています。
内部構造
MioLabのコードは動的な文字列生成とXORベースのランタイムデコードを使用しており、実行時に敏感なコマンドやURLを隠すことができます。これにより、マルウェアはシステムプロファイラーなどのツールを利用してハードウェアやソフトウェアの情報を収集します。
データ窃取機能
- ブラウザ情報:MioLabはChromiumとGeckoベースのブラウザからCookie、パスワード、自動入力データなどを抽出します。特にYandexブラウザ向けに特別なロジックが用意されています。
- Apple Notes:Apple Notesデータベースやパスワードマネージャー、メッセージクライアント(Telegram、Discordなど)から資格情報とセッショントークンを収集します。
- 暗号通貨:MioLabは200以上のブラウザベースのウォレット拡張機能やデスクトップおよびノードウォレット(Exodus、Electrumなど)から情報を窃取します。さらに、LedgerとTrezorなどのハードウェアウォレットも対象としています。
インフラストラクチャ
MioLabのWebパネルは、プロフェッショナルなユーザーエクスペリエンスを提供し、地理的な検索や資産タイプ別の検索が可能です。また、Googleクッキー復元ツールも搭載されており、盗まれたトークンを使用してユーザーのセッションを再開することができます。
対策
MioLabのようなmacOS情報窃取マルウェアに対する防御には、ターミナルの使用ポリシーの強化や、dsclやosascriptなどのユーティリティの不正利用を検出することが重要です。また、ブラウザプロファイルへの異常なアクセスやApple Notesデータストア、login.keychain-dbへの監視も必要となります。
結論
MioLabはmacOS情報窃取マルウェアの新しい基準を示しています。APIドリブンで、暗号通貨に焦点を当てており、ClickFixソーシャルエンジニアリングチェーンと緊密に統合されています。