概要:macOSユーザーを狙う新たな情報窃取キャンペーン
Google広告を悪用し、偽のHomebrew、LogMeIn、TradingViewサイトを通じてmacOS開発者を標的とした悪質なキャンペーンが展開されています。このキャンペーンでは、AMOS (Atomic macOS Stealer) や Odyssey といった情報窃取マルウェアが拡散されており、「ClickFix」と呼ばれる手口で、ユーザーがターミナルコマンドを実行させられることで感染が引き起こされます。
巧妙な偽サイトとGoogle広告の悪用
脅威ハンティング企業Hunt.ioとBleepingComputerの調査により、このキャンペーンで3つのプラットフォームを偽装する85以上のドメインが特定されました。これらの悪意あるサイトへのトラフィックは、Google広告を通じて誘導されており、検索結果の上位に表示されることでユーザーを欺いています。
偽サイトは、本物そっくりのダウンロードポータルを提供し、ユーザーにターミナルで特定のcurlコマンドをコピー&ペーストしてアプリケーションをインストールするよう指示します。TradingViewのケースでは、一見無害な「接続セキュリティ確認」に見せかけ、ユーザーが「コピー」ボタンをクリックすると、表示されたCloudflare認証IDではなく、Base64エンコードされた悪性インストールコマンドがクリップボードに送られるという巧妙な手口が使われています。
マルウェアの感染経路と挙動
ユーザーがペーストしたコマンドは、install.shファイルをフェッチし、ペイロードバイナリをダウンロードします。このマルウェアは、ダウンロード後に隔離フラグを削除し、Gatekeeperのプロンプトを回避して実行されます。実行前に、マルウェアは仮想マシンや分析システム環境をチェックする機能も備えています。
感染後、マルウェアはsudoコマンドを呼び出してroot権限で実行され、まずホストのハードウェアおよびメモリの詳細情報を収集します。次に、OneDriveアップデーターデーモンを停止させたり、macOS XPCサービスと連携したりするなど、システムサービスを操作して悪意ある活動を正規のプロセスに紛れ込ませます。最終的に、情報窃取コンポーネントが起動し、ブラウザに保存された機密情報、仮想通貨の認証情報、Keychainデータ、個人ファイルなどを収集し、コマンド&コントロール(C2)サーバーへ流出させます。
拡散される情報窃取マルウェア:AMOSとOdyssey
- AMOS (Atomic macOS Stealer): 2023年4月に初めて確認されたMaaS(Malware-as-a-Service)で、月額1,000ドルで提供されています。広範なデータを窃取する能力を持ち、最近ではオペレーターにリモートからの永続的なアクセスを可能にするバックドアコンポーネントが追加されました。
- Odyssey Stealer: CYFIRMAの研究者によってこの夏に文書化された比較的新しいマルウェアファミリーです。Poseidon Stealerから派生し、さらにAMOSからフォークされたものです。Chrome、Firefox、Safariの認証情報とCookie、100以上の仮想通貨ウォレット拡張機能、Keychainデータ、個人ファイルを標的とし、それらをZIP形式で攻撃者に送信します。
ユーザーへの推奨事項
このような脅威から身を守るため、ユーザーはオンラインで見つけたターミナルコマンドは、その内容を完全に理解しない限り、決してペーストしないことが強く推奨されます。不審な広告やサイトには注意し、ソフトウェアのダウンロードは必ず公式の信頼できるソースから行うようにしてください。