複数ライセンス割引見積
脅威データベース Mac マルウェア Hidden Risk Malware

Hidden Risk Malware

Mac マルウェアMezoまで
翻訳内容:
日本語

北朝鮮の脅威グループ BlueNoroff による新しい攻撃は、macOS システムを標的とする高度な多段階マルウェアを使用して、暗号通貨ビジネスに焦点を当てています。研究者によって Hidden Risk と名付けられたこの攻撃は、暗号通貨市場の最近の動向に関する偽のニュースを含む電子メールで被害者を誘惑します。これらの攻撃に関与するマルウェアは、macOS 上で革新的な永続化技術を採用しており、最新のシステム更新で検出されないように設計されており、セキュリティ警告を効果的に回避します。

BlueNoroff は暗号通貨の盗難で悪名高いサイバー犯罪グループで、以前は macOS システムを標的にしていました。過去の攻撃では、ObjCShellz と呼ばれるペイロードを使用しており、これにより侵入した Mac にリモート シェルを確立することができました。

隠れたラスク感染連鎖の仕組み

攻撃は、仮想通貨関連のニュースを含んだフィッシングメールの配信から始まります。多くの場合、そのメールは、信頼性を高めるために、有名な仮想通貨インフルエンサーからの転送メッセージとして提示されます。メールには、重要な情報を含む PDF につながると思われるリンクが含まれていますが、実際には、被害者は攻撃者が管理するドメイン delphidigital.org に誘導されます。

研究者らは、URL が現在、タイトルを変えながら Bitcoin ETF ドキュメントの無害なバージョンをホストしていることを観察しましたが、時には、「Hidden Risk Behind New Surge of Bitcoin Price.app」というタイトルの危険なアプリケーション バンドルの最初の段階につながることもあります。

この攻撃では、脅威アクターはテキサス大学の正当な学術論文を偽装に使用しました。攻撃の第一段階では、有効な Apple Developer ID「Avantis Regtech Private Limited (2S8XHJ7948)」で署名および認証されたドロッパー アプリケーションが使用されますが、この ID は Apple によってすでに取り消されています。

ドロッパーが実行されると、Google Drive リンクからおとりの PDF をダウンロードし、デフォルトの PDF ビューアで開いて被害者の注意をそらします。その間、攻撃の次の段階は matuaner.com から密かにダウンロードされます。特に、攻撃者はアプリの Info.plist ファイルを変更して、ドメインへの安全でない HTTP 接続を許可し、Apple の App Transport Security プロトコルを効果的に回避しています。

隠れたリスクを悪用した新たな持続メカニズム

「growth」という名前の第 2 段階のペイロードは、x86_64 Mach-O バイナリであり、Rosetta エミュレーション フレームワークを搭載した Intel および Apple Silicon デバイスの両方で動作します。このペイロードは、Zsh セッション中に読み込まれるユーザーのホーム ディレクトリ内の隠し .zshenv 構成ファイルを変更することで永続性を確保します。

感染が成功したことを確認して持続性を維持するために、マルウェアは /tmp/ ディレクトリに隠された「タッチ ファイル」を作成します。これにより、再起動やユーザー ログイン後もペイロードがアクティブになります。この手法により、新しい LaunchAgent がインストールされるとユーザーに警告する macOS 13 以降の持続性検出システムを回避できます。悪意のある Zshenv ファイルでシステムを感染させることで、マルウェアはより強力な持続性を確立します。この手法はまったく新しいものではありませんが、マルウェア作成者による実際の攻撃でこの手法が使用されているのを研究者が確認したのはこれが初めてです。

バックドアはシステムに侵入すると、コマンド アンド コントロール (C2) サーバーに接続し、60 秒ごとに新しいコマンドをチェックします。バックドアが使用するユーザー エージェント文字列は、2023 年に BlueNoroff が行ったとされる以前の攻撃に関連付けられています。確認されたコマンドには、追加のペイロードのダウンロードと実行、シェル コマンドを実行してファイルを変更または盗む、またはプロセス全体を停止するなどがあります。

専門家らは、Hidden Risk キャンペーンは過去 12 か月間活発に行われており、北朝鮮の他のハッカー活動で見られる典型的なソーシャル メディアの「グルーミング」戦略ではなく、より直接的なフィッシング手法を採用していると指摘している。研究者らはまた、BlueNoroff が新しい Apple 開発者アカウントを確保し、そのペイロードを公証して macOS Gatekeeper の保護を回避できる能力を継続的に持っていると指摘している。

トレンド

Nedilarepron.com

アドウェア
Nedilarepron.com Web サイトは信頼できるページではありません。 Nedilarepron.com Web サイトは、「続行するには許可をクリックしてください」と呼ばれるオンライン戦術を利用しています。詐欺師は主に、Web ブラウザの通知に登録する必要があるとユーザーに信じ込ませるために使用します。 ただし、Nedilarepron.com Web ページは、自発的にアクセ...

Diddylliker.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
インターネット ユーザーは、Web を閲覧する際に注意を払う必要があります。Diddylliker.com などの不正な Web サイトは、ユーザーを欺いて煩わしい通知やリダイレクトを許可させ、さまざまなオンラインの脅威にさらすために欺瞞的な手法を使用します。これらのサイトが使用する手法を理解することで、ユーザーは潜在的に有害な体験をより適切に認識し、回避することができます。 Diddyll...

REVRAC ランサムウェア

ランサムウェア
サイバー脅威からデバイスを保護することは非常に重要です。マルウェア、特にランサムウェアは、重要なデータをロックし、その返還と引き換えに金銭を要求することで、深刻な混乱を引き起こす可能性があります。そのような高度なランサムウェアの亜種の 1 つが REVRAC です。ファイルとシステムを安全に保ちたい人は、その仕組みと防御方法を知る必要があります。 REVRAC ランサムウェアとは何ですか? ...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
75,834
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Msedge.exeとは何ですか?

問題
63,648
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...

「プリンタドライバが利用できません」エラーを修正する方法

問題
63,225
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
読み込んでいます...