サイバーニュース.jp

世界のサイバーなニュースを配信

共有AIチャットを悪用したパスワードと仮想通貨窃取の新手口が判明

カテゴリ:

概要

高度なマルバタイジングキャンペーンが、ChatGPTとDeepSeekの共有チャット機能を悪用し、macOSユーザーから認証情報を窃取するマルウェアを配布していることが明らかになりました。攻撃者はGoogleのスポンサー検索結果を購入し、被害者を正規に見えるLLM生成チャットセッションに誘導。そこには、プラットフォームの安全機構を回避するために難読化された悪意のあるコマンドが含まれています。

攻撃の手口

この攻撃は、ユーザーが「Macのストレージを解放する方法」といった一般的なmacOSのトラブルシューティングクエリを検索することから始まります。Googleのスポンサー検索結果は、一見無害に見える共有ChatGPTおよびDeepSeekチャットのリンクに被害者を誘導しますが、これらには正規のシステムメンテナンス手順を装った悪意のあるターミナルコマンドが含まれています。コマンドはBase64でエンコードされており、初期検出を回避し、疑いを晴らしています。

コマンドが実行されると、初期のbashスクリプトがいくつかの重要な機能を実行します。正規のmacOS認証を模倣したパスワードプロンプトループを作成し、dscl認証チェックを使用して入力されたパスワードを検証した後、窃取した認証情報を/tmp/.passに保存します。その後、スクリプトは主要なマルウェアペイロードであるShamus Stealerをダウンロードします。

マルウェア「Shamus Stealer」の詳細

ダウンロードされたペイロードは、既知のインフォスティーラーおよびクリプトスティーラーマルウェアである「Shamus」であることが分析により判明しました。このマルウェアは、リバースエンジニアリングを回避するために洗練された難読化技術を使用しています。

  • バイナリは、算術演算とXORエンコーディング、ハッシュテーブルアルファベットによって駆動されるカスタムBase64ライクデコーダーを組み合わせた多段階デコードプロセスを採用しています。これにより、シンプルな文字列抽出ツールによるマルウェア機能の露呈を防ぎます。
  • 実行後、マルウェアは分析サンドボックスや仮想環境を検出するための環境チェックを行います。QEMU、VMware、特定のハードウェアシリアル番号などの検出指標が見つかった場合、ペイロードを実行せずに終了します。
  • マルウェアはその後、悪意のある活動を隠蔽するためにターミナルアプリケーションを非表示にします。

窃取される情報

マルウェアの主要ペイロードは、800行のAppleScriptで、機密データを体系的に抽出するように設計されています。具体的には、以下の情報を標的とします。

  • Webブラウザ: 12種類のChromiumベースブラウザ(Chrome, Brave, Edge, Operaなど)とFirefoxベースブラウザから、Cookie、閲覧履歴、ログイン認証情報、ローカルストレージデータを窃取します。
  • 仮想通貨ウォレット: 200以上の仮想通貨ウォレットブラウザ拡張機能(MetaMaskなど)を標的とし、拡張機能ディレクトリ全体とIndexedDBデータを抽出します。デスクトップウォレットでは、Bitcoin Core、Electrum、Exodus、Ledger Live、Trezor Suiteなど15種類のアプリケーションを標的とします。
  • システム情報: macOSのキーチェーンデータベース全体、system_profilerによるシステム情報、Telegramセッションデータ、OpenVPNプロファイル、およびデスクトップ、ドキュメント、ダウンロードフォルダ内の.wallet.key.json.dbなどの拡張子を持つファイルを収集します。

永続化と対策

マルウェアは、アクセスを維持するためにrootとして実行されるLaunchDaemonをインストールし、ユーザー権限でボットバイナリを毎秒実行する永続化エージェントを起動します。これにより、システム再起動後もマルウェアが存続し、終了しても自動的に再起動します。

最も厄介なのは、マルウェアがアプリケーションのトロイの木馬化を実行することです。特にLedger Liveなどの正規の仮想通貨ウォレットアプリケーションを侵害されたバージョンに置き換え、ユーザーがハードウェアウォレットを使用している場合でもトランザクションを傍受し、仮想通貨を窃取します。

C2インフラは、45.94.47.205/contactへのHTTP POSTリクエストを介して通信し、窃取されたデータはZIPアーカイブにパッケージ化され、ユーザー識別子とビルドIDを含むカスタムヘッダーとともにcurlを使用して外部に送信されます。

組織は、スポンサー検索結果をクリックすることのリスクについてユーザーを教育し、マルウェアの実行パターンを特定するためのエンドポイント検出および対応ソリューションを導入し、疑わしいmacOS LaunchDaemonのインストールを監視する必要があります。

元記事: https://gbhackers.com/ai-chats/

投稿をさらに読み込む