概要:増え続けるインフォスティーラーの脅威
2025年において、インフォスティーラー(情報窃取マルウェア)は急速に拡大しているサイバー脅威の一つであり、洗練されたソーシャルエンジニアリングの手口を用いて、あらゆるオペレーティングシステムや地域を標的としています。Kasperskyのエキスパートが発見した新たなキャンペーンでは、攻撃者はユーザーのOpenAIの「Atlasブラウザ」への関心を利用し、なんと公式のChatGPTウェブサイト自体を悪意あるインストールガイドのホスティングプラットフォームとして悪用しています。
巧妙な手口:ChatGPTの共有機能とプロンプトエンジニアリングの悪用
攻撃はGoogleの有料検索広告から始まります。「chatgpt atlas」と検索すると、最初のスポンサー広告として「ChatGPT™ Atlas for macOS – Download ChatGPT Atlas for Mac」という、公式のchatgpt.comドメインへのリンクに見えるものが表示されます。これにより、ユーザーは正当なリンクだと信じ込み、悪意ある広告をクリックしてしまいます。
しかし、この広告をクリックすると、実際にはChatGPTプラットフォームの共有機能を使って公開された共有チャットの会話ページに誘導されます。攻撃者はプロンプトエンジニアリングを悪用して、ChatGPTに説得力のあるインストールガイドを生成させ、不審を抱かれないように以前の対話は消去していました。これにより、ITリテラシーの低いユーザーは、それが公式ドキュメントではなく、単なる公開された会話であることに気づかずに、正当な指示として受け入れてしまう可能性があります。
この手口は、攻撃者が自身のドメイン上でコンテンツ共有を許可する正規サービス(Dropbox, Google Docs, GitHub, GitLab, Google Formsなど)を悪用する新たなパターンを示しており、AIチャットボットの共有機能が、信頼性の外見を保ちながら悪意あるコンテンツを配布する新たな経路となっていることを浮き彫りにしています。
ClickFixトラップ:ターミナルコマンドによる感染
インストールガイドでは、ユーザーにTerminalで1行のコードを実行するよう指示します。これはClickFix攻撃手法の変種です。このコマンドは、atlas-extension.comから悪意あるスクリプトをダウンロードし、直ちに実行します。多くのユーザーは不審なソースからの実行ファイルを起動しないことを知っていますが、この方法は、ユーザーがコードを起動しているのではなく、ソフトウェアをインストールしていると信じ込ませることで、何が起きているのかという真の性質を曖昧にしています。
スクリプトが実行されると、ユーザーのシステムパスワードが要求されます。これは「ユーザー名+パスワード」の組み合わせがシステムコマンドの実行に有効かどうかをチェックすることで認証されます。もしパスワードが間違っている場合、プロンプトは無限に繰り返されます。正しいパスワードが入力されると、スクリプトは実際のマルウェアペイロードをダウンロードしてインストールします。
AMOS Infostealer:macOSを標的とした高度な情報窃取マルウェア
感染に成功すると、AMOS (Atomic macOS Stealer) という洗練されたインフォスティーラーが展開されます。AMOSは、以下の広範な機密データを窃取する能力を持っています。
- Chrome、Firefox、その他のブラウザからのパスワードやクッキー
- Electrum、Coinomi、Exodusなどの仮想通貨ウォレット
- Telegram DesktopやOpenVPN Connectなどのアプリケーションのデータ
- デスクトップ、ドキュメント、ダウンロードフォルダ、Notesアプリケーション内のTXT、PDF、DOCXファイル
データ窃取に加えて、AMOSはシステム再起動時に自動的に起動するように設定された永続的なバックドアをインストールし、攻撃者にリモート制御機能を提供します。
対策:警戒と予防が重要
この種の攻撃から身を守るためには、以下の対策が不可欠です。
- 信頼できるアンチマルウェア保護を全てのデバイス、特にmacOSシステムに導入する。
- 不審なソースからのコマンドは、どれほど正当に見えても絶対に実行しない。
- 疑わしいインストールガイドに遭遇した場合は、直ちにウェブサイトを閉じるか、AIチャットボットなどにコマンドを評価させてから実行するかを判断する。
この攻撃は、AIツールがソーシャルエンジニアリングの主要な標的になりつつあることを示しており、これらのテクノロジーに不慣れなユーザーには特に、より一層の警戒が求められます。