Miolab Stealer
Miolab(別名Nova)は、macOSユーザーを標的とするように特別に設計された高度な情報窃盗マルウェアです。MaaS(Malware-as-a-Service)モデルに基づきハッカーフォーラムを通じて配布されており、サイバー犯罪者は高度な技術的専門知識を必要とせずに強力なツールキットにアクセスできます。このマルウェアは、暗号通貨ウォレット拡張機能、Webブラウザ、各種管理アプリケーションから機密データを抽出するだけでなく、侵害されたシステムから直接ファイルも収集できます。被害を最小限に抑えるためには、検出後直ちに削除することが不可欠です。
目次
効率性を追求した設計、回避能力を追求
Miolabは単なる情報窃盗マルウェアではありません。集中管理パネルと攻撃管理ツールを統合することで、脅威レベルを大幅に高めています。このインフラストラクチャにより、スキルレベルの低い攻撃者でも複雑な攻撃キャンペーンを実行できます。軽量かつ最適化されたアーキテクチャは、拡散性を高め、多様なmacOS環境全体で一貫したパフォーマンスを確保し、従来の検出メカニズムを回避するのに役立ちます。
コマンド&コントロール:攻撃管理の簡素化
内蔵のコントロールパネルは、攻撃者に対し、侵害された被害者の構造化された概要(地理データや収集された情報を含む)を提供します。また、盗まれたGoogle認証セッションを再利用する機能も備えており、パスワードを必要とせずに、あるいは二段階認証を直接回避して、不正なアカウントアクセスを可能にします。
さらに、Miolabは悪意のある配布ページやClickFixスタイルの攻撃手法の展開をサポートしています。オペレーターはTelegramを介したリアルタイム通知を利用できるほか、キャンペーンのさまざまな段階を自動化することで、運用効率と規模を拡大できます。
ブラウザおよび暗号通貨のデータ抽出機能
Miolabはブラウザに保存されたデータを積極的に標的とし、認証情報やセッション関連情報を抽出して、さらなる侵害に悪用します。その攻撃範囲は主流ブラウザからニッチなブラウザまで幅広く、影響範囲を大幅に拡大しています。
- 収集される機密性の高いブラウザデータには、保存されたパスワード、Cookie、閲覧履歴、およびメールアドレスや住所などの自動入力情報が含まれます。
- GoogleトークンやSafariクッキーなどの認証情報も収集される。
対象となるブラウザには、Chrome、Edge、Firefox、Arc、Brave、Librewolf、Opera、Opera GX、SeaMonkey、Tor Browser、Vivaldi、Waterfox、Yandex、Coc Coc が含まれます。 - Miolabはブラウザ以外にも、200種類以上のウォレット拡張機能から.dat、.key、.keysなどのファイルを抽出することで、暗号通貨資産を標的にしている。また、ハードウェアウォレットの管理に使用されるアプリケーションも標的にしており、重要な復旧データの窃盗を可能にしている。
- 対象となる暗号通貨ツールには、Atomic Wallet、Binance、Bitcoin、DashCore、Dogecoin、Electrum、Exodus、Guarda、Litecoin、Monero、Tonkeeper、Wasabi Walletなどが含まれます。
- Ledger Live、Ledger Wallet、Trezor Suiteなどのアプリケーションは、24単語のリカバリーシードフレーズの抽出を特に目的としています。
ブラウザを超えて:メッセージングとローカルデータの悪用
このマルウェアは、通信アプリや生産性向上アプリにもその影響を及ぼします。TelegramやDiscordなどのプラットフォームのアクティブなセッションを乗っ取り、認証情報なしで攻撃者にアカウントアクセス権限を与えることができます。また、ユーザーがパスワードや仮想通貨の復旧フレーズなどの機密情報を意図せず保存してしまう可能性のあるAppleのメモアプリも検査します。
データ収集が完了すると、Miolabは盗んだ情報をZIPアーカイブに圧縮し、HTTP経由で外部に送信する。その活動を隠蔽するため、アプリケーションが実行できないことを示す偽のmacOSエラーメッセージを表示する。
影響:感染症の真のコスト
Miolab感染は深刻な結果を招く可能性があります。被害者は、暗号通貨の盗難、不正なアカウントアクセス、個人情報の盗難、評判の低下、そして最初の侵害に起因するさらなるマルウェア感染の可能性などにより、金銭的な損失を被る可能性があります。
感染連鎖:その核心はソーシャルエンジニアリング
Miolabは、システムへの侵入に巧妙な欺瞞手法を多用しています。サイバー犯罪者は、正規のソフトウェアに酷似するように精巧に作られた、ディスクイメージ(.DMG)ファイルとしてパッケージ化された偽のmacOSアプリケーションを介してMiolabを配布します。これらのインストーラーは、信頼性を高めるために、説得力のあるブランド、アイコン、ユーザーインターフェースを備えていることがよくあります。
マルウェアが実行されると、多段階の感染プロセスが開始されます。偽のインストール画面が表示され、セキュリティ警告を無視して右クリックし「開く」を選択するようユーザーに促します。次に、端末アプリケーションを終了させて、自身の動作を隠蔽しようとします。さらに、偽のmacOSパスワード入力画面が表示され、ユーザーを騙してシステム認証情報を入力させます。
Miolabはパスワードを検証した後、ハードウェア仕様やソフトウェア構成などのシステムレベルの情報を収集します。次に、デスクトップ、ドキュメント、ダウンロードなどの主要ディレクトリをスキャンし、ドキュメント、スプレッドシート、PDF、パスワード関連データなどのファイルを標的にします。このプロセス中に、ユーザーはアクセス許可の要求に遭遇する可能性がありますが、マルウェアは収集したデータを密かに集約し、外部への漏洩に備えて準備します。
