Jamfは3月29日(米国時間)、「Jamf Threat Labs dissects infostealer malware」において、情報窃取マルウェアを配布する2つのサイバー攻撃のキャンペーンについて注意を呼びかけた。いずれのキャンペーンもMacOSユーザーを標的としており、偽の広告やメッセージを介してマルウェアが配布されている。

  • Jamf Threat Labs dissects infostealer malware

    Jamf Threat Labs dissects infostealer malware

Macユーザーにマルウェアを配布する2つのキャンペーンの概要

Jamfにより確認された新しい2つのマルウェア配布キャンペーンの概要は次のとおり。

キャンペーン1. スポンサー広告

Google検索から「Arc Browser」を検索すると、スポンサー広告として偽のArc Web Browserの広告が表示される。

  • 「Arc Browser」の偽のスポンサー広告、表示上の異常はみられない - 引用:Jamf

    「Arc Browser」の偽のスポンサー広告、表示上の異常はみられない 引用:Jamf

この広告のリンクにアクセスすると、正規サイトに似た偽のWebサイト「aricl[.]net」に誘導される。この偽サイトは広告からアクセスした場合のみ表示され、直接アクセスを試みると拒否されるという。被害者はこの偽サイトのダウンロードボタンから情報窃取マルウェア「Atomic Stealer」をダウンロードすることになる。

ダウンロードしたファイルを実行すると、右クリックメニューの「開く」から実行するように求められる。これはMacOSのセキュリティ機能「Gatekeeper」をバイパスするための指示とされる。指示に従い実行すると、処理を継続するために必要として管理者パスワードの入力を求められる。正しいパスワードを入力するとキーチェーンからパスワードが窃取され、その他のさまざまな情報と共に攻撃者のサーバに送信される。

キャンペーン2. メッセージ

Jamfによると、スポンサー広告以外にメッセージを悪用したマルウェアの配布が確認されている。攻撃者は「会議の予定」「ポッドキャストの録音」「新しい仕事」などの話し合いと称し、メッセージを通じて悪意のある会議ソフトウェア「Meethub」をインストールさせようとする。

Meethubは「meethub[.]gg」から現在も配布されており、ダウンロードを開始すると(Gatekeeperをバイパスするために)右クリックメニューから実行するように求める画面を表示する。

  • Meethubのダウンロード時に表示される悪意のある指示

    Meethubのダウンロード時に表示される悪意のある指示

ダウンロードしたファイルを指示に従い実行すると、こちらも管理者パスワードの入力を求めてくるという。正しいパスワードを入力すると、キーチェーンからパスワードが窃取され、ブラウザーの認証情報やその他の情報と共に攻撃者のサーバに送信される。

このマルウェアの分析からは既知のマルウェア「Realst」との類似点が複数存在すると指摘されているが、VirusTotalに登録がないことから未知のマルウェアの可能性があるという。

  • 現時点ではVirusTotalに登録がない未知のマルウェア - 引用:Jamf

    現時点ではVirusTotalに登録がない未知のマルウェア 引用:Jamf

対策

今回確認されたキャンペーンは暗号資産に関心のあるMacOSユーザーを標的とする可能性が高いとされる。Jamfは「暗号資産から利益を得ようとするソーシャルエンジニアリングは、持続的標的型攻撃(APT: Advanced Persistent Threat)グループとそれ以外のサイバー犯罪者の双方から実行される。MacOSプラットフォームへの攻撃では侵入前に信頼関係を構築することが多い。ユーザーはこの種の攻撃に常に警戒する必要がある」と説明している。

暗号資産に関心のあるMacOSユーザーは多くのサイバー犯罪者に狙われる可能性が高く、ソーシャルエンジニアリング攻撃に特に注意する必要があるとして警戒を呼びかけている。