🛡 概要
最近、macOS開発者を標的とした新たな悪意のあるキャンペーンが発見されました。このキャンペーンでは、偽のHomebrew、LogMeIn、TradingViewプラットフォームを利用して、情報を盗むマルウェアが配布されています。具体的には、AMOS(Atomic macOS Stealer)やOdysseyなどのマルウェアが使われています。攻撃者は“ClickFix”技術を用いて、ターゲットを騙してターミナルでコマンドを実行させる手法を採用しています。
🔍 技術詳細
HomebrewはmacOSやLinux用のオープンソースのパッケージ管理システムで、ソフトウェアのインストールを容易にします。過去には、攻撃者がこのプラットフォームの名前を利用して、悪意のある広告キャンペーンでAMOSを配布していました。Hunt.ioの研究者は、このキャンペーンにおいて85以上のドメインが発見され、これらは偽のプラットフォームを模倣しています。これらの悪意のあるサイトは、ユーザーにcurlコマンドをターミナルにコピーさせるように指示するダウンロードポータルを特徴としています。特に、TradingViewに関しては、悪意のあるコマンドが“接続のセキュリティ確認ステップ”として提示され、ユーザーが’コピー’ボタンをクリックすると、表示されたCloudflareの確認IDの代わりにbase64エンコードされたインストールコマンドがクリップボードに送られます。
⚠ 影響
このマルウェアの影響は深刻で、AMOSやOdysseyは、ブラウザに保存された機密情報や暗号通貨の資格情報を盗み出し、攻撃者のコマンド&コントロール(C2)サーバーに送信します。AMOSは2023年4月に初めて文書化され、マルウェア・アズ・ア・サービス(MaaS)として提供されており、月額1,000ドルで利用可能です。最近では、攻撃者がリモートで持続的なアクセスを可能にするバックドアコンポーネントを追加しています。一方、Odysseyは、Poseidon Stealerから派生した新しいファミリーで、Chrome、Firefox、Safariのブラウザに保存された資格情報やクッキー、Keychainデータをターゲットとし、ZIP形式で攻撃者に送信します。
🛠 対策
ユーザーに強く推奨されるのは、オンラインで見つけたターミナルコマンドを理解せずに貼り付けないことです。また、公式のプラットフォームからソフトウェアをダウンロードする際は、必ず正しいURLを確認し、フィッシングサイトに騙されないよう注意が必要です。セキュリティソフトウェアを導入し、定期的にシステムをスキャンすることも重要です。さらに、疑わしいサイトへのアクセスを避け、必要に応じて専門家に相談することが推奨されます。
