サイバーニュース.jp

世界のサイバーなニュースを配信

新種のModStealer、アンチウイルスを回避しmacOSユーザーの機密データを窃取

カテゴリ:

, , , , , , , , ,

はじめに

macOSユーザーを標的とした、従来のアンチウイルスソリューションを回避する能力を持つ洗練された新種のマルウェア「ModStealer」が登場しました。このクロスプラットフォームの脅威は、特に開発者や仮想通貨保有者を狙っており、2024年におけるAppleユーザーが直面するセキュリティ課題の増大を浮き彫りにしています。

ModStealerの概要

発見と特徴

ModStealerは、サイバーセキュリティ企業Mosyleによって最初に特定され、2024年9月11日に9to5Macを通じて報告されました。このマルウェアは、公表の約1ヶ月前にVirusTotalで確認されており、検出システムを回避しながら密かに活動していたことを示唆しています。Mosyleは、このマルウェアの内部動作に関する包括的な技術文書やフォレンジック分析の詳細を公式チャネルを通じて公開しておらず、セキュリティ研究者はその技術的な詳細について限られた情報しか得られていません。

クロスプラットフォーム機能

ModStealerは、macOS、Windows、Linuxシステムを侵害できるクロスプラットフォーム機能によって際立っています。この汎用性を可能にする正確なメカニズムは不明ですが、クロスプラットフォームキャンペーンでは通常、被害者のプロファイリングに基づいてOS固有のペイロードが展開されます。

標的

このマルウェアは、主に以下の2つの高価値な層を標的としています。

  • 開発者: 偽の求人広告や採用詐欺を通じて標的とされます。これは、開発者が様々なオンラインソースから開発ツールやリソースをダウンロードする傾向を悪用するものです。攻撃者は、正規の採用担当者や企業になりすまし、信頼を確立した後に悪意のあるペイロードを展開します。
  • 仮想通貨保有者: ModStealerは、ChromeおよびSafariプラットフォームの両方で、ブラウザベースのウォレット拡張機能を侵害するように特別に設計されています。Safariウォレット拡張機能を標的とするインフォスティーラーは、脅威の状況において比較的珍しいため、この機能は特に注目に値します。

技術的な機能とデータ流出

ModStealerは、侵害されたシステムから抽出されるデータの価値を最大化するために、包括的なデータ収集技術スイートを採用しています。

  • ブラウザ拡張機能の侵害: Chrome/ChromiumおよびSafariブラウザの両方で、仮想通貨ウォレット拡張機能に特に焦点を当て、50以上の異なるブラウザ拡張機能を標的とします。
  • クリップボード監視: ユーザーが仮想通貨のシードフレーズや秘密鍵などの機密情報をコピー&ペーストする際に、クリップボードの内容を継続的に監視してそれらをキャプチャします。
  • スクリーンショットのキャプチャ: 定期的にスクリーンショットを撮影し、画面に表示されている機密情報を含む可能性のあるユーザーデータをキャプチャします。
  • ブラウザデータの収集: ローカルストレージ、LevelDBおよびIndexedDBの内容、Cookie、保存された認証情報など、保存されたブラウザデータを体系的に抽出します。
  • リモートコマンド実行: コマンド&コントロールサーバーとの通信を維持し、攻撃者がデータ収集や侵害されたネットワーク内での横方向の移動のために追加のコマンドを実行できるようにします。

永続化メカニズム

ModStealerは、正規のAppleシステムツールを悪用することで、macOSシステム上で高度な永続化機能を発揮します。このマルウェアは、Apple独自のlaunchctlユーティリティを悪用し、システムのスタートアッププロセス内にLaunchAgentとして自身を埋め込むことで、長期的な存在を確立します。これにより、システム再起動後もマルウェアが存続し、侵害されたデバイスへの継続的なアクセスを維持できます。また、ペイロードファイルは「sysupdater.dat」のような無害な名前を使用して隠蔽され、カジュアルなシステム検査での検出を回避します。アンチウイルス検出を回避するマルウェアの能力は、高度な難読化技術と、従来のシグネチャベースの検出システムにまだ組み込まれていないゼロデイエクスプロイトの可能性を示唆しています。

高リスクユーザーグループへの影響

開発者と仮想通貨保有者を標的とすることは、投資収益率の可能性に基づいた戦略的な脅威アクターの意思決定を反映しています。開発者は、多くの場合、高いシステム権限と貴重な知的財産、ソースコード、開発インフラへのアクセスを持っています。仮想通貨保有者は、ブロックチェーン取引の不可逆性と、ブラウザベースのウォレットに通常保存されている多額の金融資産のため、高価値な標的となります。仮想通貨の主流化は、攻撃対象領域を拡大させ、多くのユーザーが本質的にリスクの高いデジタル環境で動作するブラウザ拡張機能に多額のデジタル資産を保存しています。

HackenのDAppおよびAI監査技術リードであるStephen Ajayi氏は、開発者にとっての強化されたセキュリティプラクティスの重要性を強調し、「開発者は、採用担当者と関連ドメインの正当性を検証すべきである」と述べています。

緩和策

セキュリティ専門家は、高リスクユーザーグループに対していくつかの防御策を推奨しています。

開発者向け

  • ファイルをダウンロードしたり、技術評価を完了したりする前に、公式の会社チャネルを通じて採用担当者の正当性を確認する。
  • 課題は、直接ファイルをダウンロードするのではなく、公開リポジトリを通じて共有するよう要求する。
  • 未知のソースからのコードやアプリケーションをテストするために、使い捨ての仮想マシンを利用する。
  • 仮想通貨ウォレットや機密性の高い開発リソースにアクセスするために、個別の強化されたシステムを維持する。

仮想通貨ユーザー向け

  • ブラウザベースのウォレットから、秘密鍵をオフラインで保存するハードウェアウォレットへの移行を検討する。
  • 承認前にデバイスのディスプレイで取引アドレスを確認し、少なくとも最初の6文字と最後の6文字を検証することで、ハードウェアウォレットの検証を実装する。
  • 仮想通貨操作専用の、分離されたロックダウンされたブラウザプロファイルを設定する。
  • すべての仮想通貨関連アカウントで、生体認証コンポーネントを含む多要素認証を有効にする。

一般的なセキュリティ対策

  • オンラインプラットフォームに保存する機密データの量を制限することで、デジタル攻撃対象領域を最小限に抑える。
  • ゼロデイ脅威に対する限界を認識しつつ、アンチウイルスソリューションを最新の状態に保つ。
  • ブラウザ拡張機能を定期的にレビューおよび監査し、不要または疑わしい追加を削除する。
  • 侵害が発生した場合の潜在的な横方向の移動を制限するために、ネットワークセグメンテーションを実装する。

結論

ModStealerの出現は、2024年を通じてmacOSを標的としたマルウェアの進化における懸念される傾向の継続を表しています。これらの脅威の高度化は、Appleシステムが他のプラットフォームよりも本質的に安全であるという一般的な誤解に異議を唱えています。Gatekeeperを含むAppleの組み込みセキュリティメカニズムを回避するマルウェアの能力は、高度な持続的脅威に直面した際の同社のセキュリティアーキテクチャにおける潜在的な弱点を浮き彫りにしています。この進展は、macOSユーザーがもはや、決意の固い脅威アクターに対する保護のために組み込みのセキュリティ機能だけに頼ることはできないことを示唆しています。

ModStealerは、macOSマルウェアの高度化と標的の精度における重大なエスカレーションを表しています。そのクロスプラットフォーム機能、高度な永続化メカニズム、および高価値な標的への特定の焦点は、Appleユーザーが直面する進化する脅威の状況を示しています。この脅威を取り巻く限られた技術的開示は、独立したセキュリティ研究の重要性と、サイバーセキュリティコミュニティ内での包括的な脅威インテリジェンス共有の必要性を強調しています。Macインフォスティーラーの脅威がより蔓延し効果的になるにつれて、ユーザーは反応的な保護メカニズムに頼るのではなく、プロアクティブなセキュリティ対策を採用する必要があります。

元記事: https://gbhackers.com/modstealer-evades-antivirus-targets-macos-users/

投稿をさらに読み込む