MacSyncマルウェア
MacSyncは、2025年春に初めて登場したmac.c Stealerのリブランドおよびアップグレード版です。わずか1か月後、このマルウェアは新しい名前で再登場しました。以前のバージョンと同様のデータ窃取機能を備えながら、MacSyncは追加のバックドアコンポーネントを導入しています。注目すべきは、元のStealerがC言語で開発されていたのに対し、バックドアモジュールはGo言語で記述されており、モジュール化され、より洗練された構造へと移行している点です。
目次
ClickFix詐欺による世界的な拡散
MacSyncは世界中で確認されており、感染はウクライナ、米国、ドイツ、英国、スペインに集中しています。このマルウェアは主にClickFix詐欺によって拡散され、被害者を騙してシステム上で悪意のあるコマンドを実行させます。実行されると、MacSyncは偽のパスワードプロンプトを表示し、デバイスの認証情報を取得しようとすることで侵入プロセスを開始します。
二重機能:データ盗難とリモートコントロール
アクセスを確保した後、MacSyncはGoベースのバックドアを展開します。このコンポーネントはコマンドアンドコントロール(C&C)サーバーに接続し、攻撃者がリモートでコマンドを実行できるようにします。同時に、データ窃取モジュールは次のような機密情報を収集します。
- 個人ファイル
- ログイン資格情報
- 暗号通貨ウォレット
検出を回避し、分析を妨害するために、MacSync はコードの難読化を使用し、その操作にリンクされた一時ファイルを消去します。
バックドアモジュールの目的
バックドアは、サイバー犯罪者が侵入したシステムへの秘密のアクセスを可能にするために設計されています。MacSyncのバックドアは、リモートコマンドの実行を容易にするだけでなく、悪意のある追加モジュールへの侵入経路も確保しています。このモジュール型アプローチにより、マルウェアが機能を拡張し、感染システムをさらに侵害する可能性が大幅に高まります。
ClickFixを超えた普及
Cloudflareを装ったClickFix詐欺が依然として主要な配信経路となっているものの、研究者らはMacSyncが複数の配信方法で拡散する可能性があると警告しています。サイバー犯罪者は、マルウェアを正規のファイルやアプリケーションに偽装するために、フィッシングやソーシャルエンジニアリングを頻繁に利用しています。
最も一般的な感染手法には次のようなものがあります。
- オンライン詐欺、マルバタイジング、欺瞞的なダウンロード
最後に
MacSyncは、データ窃取機能とバックドア機能を組み合わせたことで、前身のmac.cから大きく進化しました。モジュール設計と広範な配布方法により、特に危険な脅威となっています。フィッシングキャンペーン、不審なダウンロード、偽のアップデートプロンプトは、依然としてこのマルウェアの主な侵入経路であるため、ユーザーは警戒を怠らないでください。
