概要
ハッカーがClickFixコマンドを利用して悪意のあるDMGインストーラーを配布し、高価値の暗号通貨ウォレットからMacユーザーの情報を盗む新macOSスティーラー「notnullOSX」を展開しています。
背景
0xFFFと呼ばれるマルウェア開発者が、2023年にロシア語圏の主要なハッキングフォーラムから退去し、法執行機関からの調査を受けていると主張しました。その後、彼は2024年8月にTelegram上で謝罪を表明し、「notnullOSX」という新macOSスティーラーを提供することで再び地位を取り戻そうとしています。
感染フロー
notnullOSXの感染フローは以下の通りです:
- 初期トリガー:偽の保護されたGoogleドキュメント – 研究者@g0njxaが報告したように、ユーザーは暗号化に失敗したというエラーメッセージを受け取り、その解決策として「ClickFix」または「DMGインストール」を実行します。
- ClickFixチェーン – ユーザーはターミナルを開き、ベース64エンコードされたコマンドを貼り付けます。これにより、攻撃者のインフラからbashインストーラがダウンロードされ、Mach-Oペイロードが実行されます。
- DMGチェーン – 偽のディスクイメージが表示され、「Install.sh」「README.txt」などが含まれています。ユーザーは「README.txt」に従ってベース64エンコードされたインストーラスクリプトを実行します。
特徴と機能
notnullOSXの主な特徴:
- Mach-Oバイナリは多くのアンチウイルスエンジンによって検出されず、「アドウェア」や「潜在的に不要」と誤ってラベル付けされる。
- モジュール化されたステーラーとして機能し、個々のコンポーネントが合法的なCDNからダウンロードされ、特定のデータカテゴリを収集します。
- ReplaceAppモジュールは、ハードウェアウォレットマネージャなどの正当なアプリケーションをトロイ化したクローンに置き換える機能があります。
検出と対策
Moonlock Labは、以下のような検出結果を報告しています:
- 3月30日からVietnam, Taiwan, Spainのユーザーが影響を受けている。
- ソーシャルエンジニアリングによるターミナルコマンドの配布はmacOSで一般的な手法となっている。
- フルディスクアクセス許可を求めるプロンプトは高リスクと見なすべき。