ReliaQuestは9月8日(米国時間)、「5 macOS Infostealers Making Waves Right Now」において、ここ1年ほどでmacOSを標的とするインフォスティーラ(情報窃取マルウェア)の機能が大幅に強化されているのを確認したとして、注意を呼び掛けた。多くのインフォスティーラはマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)により廉価に配布されており、攻撃者の参入障壁は大幅に低くなっている。

  • 5 macOS Infostealers Making Waves Right Now

    5 macOS Infostealers Making Waves Right Now

ReliaQuestは活動が確認されている代表的なインフォスティーラとして5つ取り上げ、次のように解説している。

  • XLoader - 2021年6月に確認されたインフォスティーラ。当初はWindows向けであったが、2023年8月にmacOSに対応した更新バージョンが発見された。サイバー犯罪フォーラムの広告ではmacOS対応版が月額199ドルとされる。機能としては、クリップボードの情報収集およびブラウザからの資格情報の窃取など
  • Atomic Stealer - 2023年4月にTelegramで販売が告知された。サイバー犯罪フォーラムの広告では月額1,000ドルとされる。機能としては認証情報(Keychainの情報を含む)、財務情報、暗号資産関連の情報を窃取する
  • MacStealer - 2023年3月に確認されたインフォスティーラで、Apple M1、M2 チップを搭載したmacOS CatalinaからVentura(およびそれ以降)を標的とする。サイバー犯罪フォーラムの広告ではたったの100ドルとうたわれている。機能としては認証情報(Keychainの情報を含む)、暗号資産関連mp情報、ファイルなどを窃取する
  • ShadowVault - 2023年6月に確認されたインフォスティーラ。ロシア語のサイバー犯罪フォーラムの広告では月額500ドルとされる。機能はAtomic Stealerと同等で、追加料金を支払うと正規のApple Developerで署名されたビルドの提供が可能とされる
  • Realst Stealer - 2023年7月に確認されたインフォスティーラで、ブロックチェーンゲームを装う。配布にはソーシャルエンジニアリング手法も使用しており、標的に接触してゲームの宣伝を行うこともある。機能としては認証情報(Keychainの情報を含む)、暗号資産関連の情報の窃取などを行う。macOS 14 Sonomaに向けた開発が行われているとみられている
  • 5つのインフォスティーラと機能の表 - 提供: ReliaQuest

    5つのインフォスティーラと機能 引用:ReliaQuest

ReliaQuestはこれら脅威を最小限に抑えるために、次の対策を推奨している。

  • 信頼できるソースからのみアプリケーションをダウンロードする。また、macOS Gatekeeperの使用を強制する
  • EDR(Endpoint Detection and Response)ソフトウェアを導入する
  • 適切なWebフィルタポリシーおよびファイアウォールの設定を行い、悪意あるWebサイトへのアクセスを防止する
  • 多要素認証(MFA: Multi-Factor Authentication)を使用する
  • 現在のソーシャルエンジニアリング手法やアクティブなキャンペーンについて、継続的なトレーニングと教育を行う
  • オペレーティングシステムやブラウザなどのソフトウェアを常に最新にする

macOSはほかのオペレーティングシステムに比べ、脅威に対する耐性が比較的高いとされてきたが、近年では攻撃者から標的と認識され始めており脅威が増している。macOSの利用者もWindowsなどと同様に、十分な防御策を講じる必要があることを認識し、推奨されるベストプラクティスを実施することが望まれる。