Atomic macOS Stealerマルウェア
サイバーセキュリティ研究者は、ClickFix と呼ばれる欺瞞的なソーシャルエンジニアリング戦術を利用して、Apple macOS システムを侵害するように設計された情報窃盗マルウェアである Atomic macOS Stealer (AMOS) を配布する新しいマルウェアキャンペーンを発見しました。
目次
タイポスクワット戦術:Spectrumのなりすまし
このキャンペーンの背後にいる攻撃者は、米国に拠点を置く通信事業者Spectrumを模倣したタイポスクワットドメインを用いており、panel-spectrum.netやspectrum-ticket.netといった詐欺ウェブサイトを利用して、疑いを持たないユーザーを誘い込んでいます。これらの類似ドメインは、正規のウェブサイトに見せかけるように巧妙に作成されており、ユーザーの信頼とインタラクションの可能性を高めています。
悪意のあるシェルスクリプト:隠されたペイロード
これらの偽装サイトにアクセスしたmacOSユーザーには、悪意のあるシェルスクリプトが提供されます。このスクリプトは、システムパスワードの入力を促し、認証情報を盗み、macOSのセキュリティ制御を回避し、さらなる悪用のためにAMOSマルウェアの亜種をインストールします。macOSのネイティブコマンドを使用することで、スクリプトの効果を最大限に高めつつ、目立たないようにしています。
起源の痕跡:ロシア語のコードコメント
このキャンペーンの背後にはロシア語を話すサイバー犯罪者がいる可能性を示唆する証拠があります。研究者たちは、マルウェアのソースコードに埋め込まれたロシア語のコメントを発見し、脅威アクターの地理的および言語的起源を示唆しています。
欺瞞的なCAPTCHA:ClickFixの罠
この攻撃は、ユーザーの接続セキュリティを確認していると主張する偽のhCaptcha認証メッセージから始まります。「私は人間です」チェックボックスをクリックすると、「CAPTCHA認証に失敗しました」という偽のエラーメッセージが表示されます。その後、「代替認証」に進むよう促されます。
このアクションは、悪意のあるコマンドをクリップボードにコピーし、ユーザーのオペレーティングシステムに基づいて指示を表示します。macOSの場合、被害者はターミナルアプリにコマンドを貼り付けて実行するように誘導され、AMOSのダウンロードが開始されます。
ずさんな実行:コードに潜むヒント
キャンペーンの危険な意図にもかかわらず、研究者たちは攻撃インフラに不整合があることを指摘しました。配信ページには、以下のような不適切なロジックやプログラミングエラーが見られました。
- Linux ユーザー向けにコピーされた PowerShell コマンド。
- Windows ユーザーと Mac ユーザーの両方に表示される Windows 固有の手順。
- 表示される OS と指示の間のフロントエンドの不一致。
ClickFixの台頭:拡大する脅威ベクトル
この動きは、過去1年間の複数のマルウェア攻撃キャンペーンにおいてClickFix戦術がますます利用されるようになっていることの一環だ。脅威アクターは、初期アクセスにおいて一貫して同様の手法、ツール、手順(TTP)を用いており、最も一般的なものは以下である。
- スピアフィッシング
- ドライブバイダウンロード
- GitHubのような信頼できるプラットフォームを介して共有された悪意のあるリンク
偽の修正、本当の損害:最悪のソーシャルエンジニアリング
被害者は、無害な技術的問題を解決していると信じ込まされます。しかし実際には、マルウェアをインストールする有害なコマンドを実行させられます。このようなソーシャルエンジニアリングは、ユーザーの認識や標準的なセキュリティメカニズムを回避するのに非常に効果的です。
拡大する影響:世界的な拡散と多様なペイロード
ClickFixキャンペーンは、米国、欧州、中東、アフリカ(EMEA)の顧客環境で検出されています。これらの攻撃はますます多様化しており、AMOSのようなスティーラーだけでなく、トロイの木馬やランサムウェアも配信しています。ペイロードは多様化しているものの、基本的な手法は一貫しており、ユーザーの行動を操作してセキュリティを侵害するというものです。
結論:警戒が必要
このキャンペーンは、継続的な警戒、ユーザー教育、そして堅牢なセキュリティ対策の重要性を浮き彫りにしています。ClickFixのようなソーシャルエンジニアリングの手口が進化するにつれ、組織も個人も、こうした欺瞞的な脅威を認識し、ブロックするための情報を入手し、準備を整えておく必要があります。
