概要:macOS開発者を狙う新たな脅威
Google広告を利用した悪質なキャンペーンが、macOS開発者を標的にしています。このキャンペーンでは、偽のHomebrew、LogMeIn、TradingViewサイトを通じて、AMOS(Atomic macOS Stealer)やOdysseyといった情報窃取型マルウェアが配布されています。特に「ClickFix」と呼ばれる手口が用いられ、ユーザーは巧妙に騙されてターミナルコマンドを実行し、自らマルウェアに感染させられてしまいます。
キャンペーンの詳細と手口
HomebrewはmacOSおよびLinuxでソフトウェアを簡単にインストールできる人気のオープンソースパッケージ管理システムです。過去にも脅威アクターはHomebrewの名前を悪用し、マルバタイジングキャンペーンを通じてAMOSを配布していました。LogMeInはリモートアクセスサービス、TradingViewは金融チャートおよび市場分析プラットフォームであり、いずれもAppleユーザーに広く利用されています。
脅威ハンティング企業Hunt.ioは、このキャンペーンでこれら3つのプラットフォームを偽装する85以上のドメインを特定しました。BleepingComputerの調査では、これらの悪質なサイトへのトラフィックがGoogle広告によって誘導されており、検索結果に表示されるようにプロモーションされていたことが判明しています。
悪質なサイトは、本物そっくりのダウンロードポータルを提供し、ユーザーに`curl`コマンドをターミナルにコピーしてインストールするよう指示します。TradingViewのケースでは、悪質なコマンドが「接続セキュリティ確認ステップ」として提示されますが、コピーボタンをクリックすると、表示されたCloudflare認証IDではなく、base64エンコードされたインストールコマンドがクリップボードに送られるという巧妙な手口が使われています。
マルウェアの配信と実行メカニズム
ユーザーが実行するコマンドは、まず`install.sh`ファイルをフェッチしてデコードします。このスクリプトはペイロードバイナリをダウンロードし、隔離フラグを削除してGatekeeperのプロンプトを回避します。ペイロードはAMOSまたはOdysseyであり、仮想マシンや分析環境でないことを確認した後に実行されます。
マルウェアは`sudo`コマンドを呼び出してroot権限で実行され、その最初の行動としてホストのハードウェアおよびメモリの詳細情報を収集します。その後、OneDriveアップデータデーモンを停止するなどシステムサービスを操作し、macOS XPCサービスと連携して悪意のある活動を正規のプロセスに偽装します。
情報窃取型マルウェア「AMOS」と「Odyssey」の機能
このキャンペーンで配布される主要なマルウェアは、AMOSとOdysseyです。
- AMOS (Atomic macOS Stealer):
2023年4月に初めて文書化された、月額1,000ドルで利用可能なMaaS (Malware-as-a-Service) です。感染したホストから広範なデータを窃取できる能力を持ち、最近ではオペレーターにリモートからの永続的なアクセス機能を提供するバックドアコンポーネントが追加されました。
- Odyssey Stealer:
今年夏にCYFIRMAの研究者によって文書化された比較的新しいマルウェアファミリーで、Poseidon Stealerから派生し、さらにAMOSからフォークされたものです。Chrome、Firefox、Safariブラウザに保存された認証情報とCookie、100以上の仮想通貨ウォレット拡張機能、Keychainデータ、個人ファイルを標的とし、これらの情報をZIP形式で攻撃者のコマンド&コントロール(C2)サーバーに送信します。
ユーザーへの推奨事項と注意喚起
ユーザーは、オンラインで見つけたターミナルコマンドを、その内容を完全に理解せずに貼り付けるべきではないと強く推奨されます。特に、Homebrewの公式インストール方法も`curl`コマンドを使用するため、悪意のある模倣犯にとって格好の標的となっています。ユーザーは、コマンドを実行する前に、それが正しいURLからのものであることを必ず確認する必要があります。