Source: https://www.securityweek.com/widespread-infostealer-campaign-targeting-macos-users/
🛡 概要
最近、macOSユーザーを狙った情報盗取マルウェアの広範なキャンペーンが確認されており、LastPassが警告を発しています。攻撃者は、さまざまな企業のソフトウェアを提供すると主張する詐欺的なGitHubリポジトリを利用し、検索エンジン最適化(SEO)を駆使して、リポジトリへのリンクを検索結果の上位に表示させています。この手法により、多くのユーザーが悪意のあるリンクをクリックし、マルウェアに感染する危険にさらされています。
🔍 技術詳細
LastPassによると、攻撃者は「LastPass on MacBook」をインストールするためのリンクを含む2つの詐欺的なGitHubサイトを作成しました。これらは9月16日にMicrosoftが所有するコード共有プラットフォームに投稿され、現在は削除されています。ユーザーがリンクをクリックすると、悪質なページにリダイレクトされ、CURLコマンドを端末にコピー&ペーストするよう指示されます。このコマンドはエンコードされたURLへのリクエストを開始し、最終的に「Update」ペイロードがTempディレクトリにダウンロードされます。このペイロードはAtomic macOS Stealer(AMOS)であり、2023年以降、多くの攻撃で利用されています。
⚠ 影響
このキャンペーンは、金融機関、パスワードマネージャー、テクノロジー企業、AIツール、暗号通貨ウォレットなど、さまざまなビジネスを偽装する形で行われています。攻撃者は、複数のGitHubユーザー名を使用して他の偽のGitHubページを作成し、ターゲット企業の名称とMac関連の用語を組み合わせた命名パターンを使用しました。これにより、ユーザーの信頼を悪用し、Google広告やGitHubの信頼性を利用して、公式のHomebrewアプリケーションをインストールさせ、その背後で悪意のあるペイロードを実行させるという手法が取られています。
🛠 対策
macOSユーザーは、公式のソフトウェアやアプリケーションをインストールする際には、信頼できるソースからのみダウンロードすることが重要です。また、GitHubなどのプラットフォームでのリポジトリの信頼性を確認し、詐欺的なリンクを避けるために、特に注意が必要です。さらに、セキュリティ対策として、最新のウイルス対策ソフトウェアを使用し、定期的にシステムをスキャンすることをお勧めします。フィッシング攻撃やマルウェアに対する認識を高めることで、自身を守る手助けになります。
