9to5Mac Security Biteは、Apple統合プラットフォームであるMosyleが独占的に提供しています。Appleデバイスをすぐに使用でき、企業にとって安全なものにすることが私たちの使命です。管理とセキュリティに対する独自の統合アプローチは、完全に自動化された強化とコンプライアンス、次世代EDR、AI搭載ゼロトラスト、独自の権限管理のための最先端のApple固有のセキュリティソリューションと、市場で最も強力で最新のApple MDMを組み合わせています。その結果、完全に自動化されたApple統合プラットフォームが誕生しました。現在45,000を超える組織から信頼されており、何百万台ものAppleデバイスを手間をかけずに手頃な価格ですぐに使用できます。今すぐ延長トライアルをリクエストして、MosyleがAppleと連携するために必要なすべてである理由を確認してください。

セキュリティ研究者らは、北朝鮮（DPRK）の国家支援を受けたハッカーが、トロイの木馬化された会議アプリを通じて情報窃盗マルウェアで Mac ユーザーを標的にしようとしていることを突き止めた。

感染すると、マルウェアはMacと攻撃者のコマンド＆コントロール（C2）サーバー間の接続を確立し、iCloudキーチェーンの認証情報などの機密データを盗み出します。また、リモートデスクトップアプリケーションAnyDeskとキーロガーソフトウェアをバックグラウンドで密かにインストールし、マシンを乗っ取ってキー入力を収集することも判明しました。

このマルウェアは、「BeaverTail」と呼ばれる既知の亜種の新たな亜種であり、MalwareHunterTeamがXの投稿で初めて報告しました。BeaverTailは2023年に発見された既存のJavaScript情報窃盗マルウェアでしたが、現在は「MicroTalk.dmg」という悪意のあるディスクイメージを使用してMacユーザーを標的にするように改良されているようです。

セキュリティ研究者で作家のパトリック・ウォードル氏は、Objective-See のブログ記事で、このマルウェアをかなり包括的かつユーモラスなタイトルで分析しました。ウォードル氏は、ハッカーが求人広告業者を装い、被害者を騙して正規のビデオ会議プラットフォーム「MiroTalk」をダウンロードさせようとしていた可能性が高いことを突き止めました。「MicroTalk.dmg」というディスクイメージファイル名から、このマルウェアは正規のMiroTalkのように見えるものの、実際にはマルウェアが隠されたクローンだったことが分かります。

Security Biteについて：Security Biteは、9to5Macで毎週お届けするセキュリティ特集コラムです。Arin Waichulis氏が毎週、データプライバシーに関する洞察、脆弱性の発見、そして20億台を超えるアクティブデバイスからなるAppleの広大なエコシステムにおける新たな脅威の解明に取り組んでいます。

北朝鮮のハッカーが求人広告業者を装って被害者を狙ったという報告は、これが初めてではない。パロアルトネットワークスの悪名高い研究グループ「Unit42」は最近、「雇用主へのハッキングと求職：2つの求人関連キャンペーンに北朝鮮の脅威アクターの特徴が見られる」という同様の記事を報告した。

Wardle氏の分析によると、マルウェアを含む悪意のあるMicroTalkクローンは署名されていないか、特定の開発者によってAppleに登録されていないため、macOS Gatekeeperによって実行がブロックされます。ただし、ユーザーは右クリックしてショートカットメニューから「開く」を選択することで、このブロックを回避できます。

Gatekeeperは、Macユーザーを狙うサイバー犯罪者にとって常に悩みの種となっています。実際、Gatekeeperは非常に効果的なため、場合によってはユーザーに悪意のあるアプリケーションをダブルクリックではなく「正しい」方法で開くように指示する（つまり、右クリックして「開く」を選択する）こともあります。

感染すると、マルウェアはC2サーバーと通信し、iCould KeyChainの認証情報や、一般的な暗号通貨ウォレットのブラウザ拡張機能IDなどのデータをダウンロード・抽出します。これらのデータは、秘密鍵やニーモニックフレーズの窃取に利用されます。しかし、最も厄介なのは、先週発見されたマルウェアが、VirusTotalなどのウイルス対策スキャナーを完全に検知されずにすり抜けることができたことです。サイバー犯罪者は、VirusTotalなどのプラットフォームに実行ファイルをアップロードすることで、悪意のある側面を巧妙に隠蔽し、一般的なスキャナーで検知されないようにします。しかし、欠点は「善意の人間」にも見られてしまうことです。

Ojective-See のブログ投稿によると、 「具体的にはシンボルの出力から、データの流出やダウンロードおよび実行の可能性があるメソッド名 ( fileUpload、、 )pDownFinishedがわかります。」run

「埋め込まれた文字列からは、おそらくコマンド＆コントロールサーバーのアドレス95.164.17.24:1224と、マルウェアが窃取のために収集する情報の種類に関するヒントが確認できます。具体的には、一般的な暗号通貨ウォレットのブラウザ拡張機能ID、ユーザーのブラウザデータへのパス、そしてmacOSキーチェーンです。その他の文字列は、悪意のあるPythonスクリプトと思われる追加ペイロードのダウンロードと実行に関連しています。」

結局のところ、これが国家の有名なサイバー犯罪組織ラザルス・グループの傘下組織であるブルーノロフの仕業だとしても驚きはしない。ブルーノロフは投資家や企業のヘッドハンターを装って潜在的な被害者に接触するケースがいくつかある。アヒルのように見え、アヒルのように泳ぎ、アヒルのように鳴くなら、それはおそらくアヒルだろう。

havebin.com を Google ニュース フィードに追加します。