Havebin

Ipad

GTA6を装ったmacOSマルウェアがキーチェーンのパスワードを盗むc

Havebin
qlamk
0 Comments
GTA6を装ったmacOSマルウェアがキーチェーンのパスワードを盗むc
GTA6を装ったmacOSマルウェアがキーチェーンのパスワードを盗むc
macOS マルウェア GTA6 セキュリティ

Moonlockのセキュリティ研究者は、注目に値するmacOS窃盗マルウェアの様々な派生サンプルを分析した結果、驚くほど高度な技術を持つマルウェアを発見しました。未発売のビデオゲーム「GTA 6」に偽装されたこのマルウェアは、インストールされると、ユーザーのローカルキーチェーンからパスワードなどの機密情報を抜き出すという巧妙な手法を実行します。

典型的なSecurity Biteスタイルに従って、その仕組みと安全を保つ方法を説明します。

9to5Mac Security Biteは、Apple統合プラットフォームであるMosyleが独占的に提供しています。Appleデバイスをすぐに使用でき、企業にとって安全なものにすることが私たちの使命です。管理とセキュリティに対する独自の統合アプローチは、完全に自動化された強化とコンプライアンス、次世代EDR、AI搭載ゼロトラスト、独自の権限管理のための最先端のApple固有のセキュリティソリューションと、市場で最も強力で最新のApple MDMを組み合わせています。その結果、完全に自動化されたApple統合プラットフォームが誕生しました。現在45,000を超える組織から信頼されており、何百万台ものAppleデバイスを手間をかけずに手頃な価格ですぐに使用できます。すぐ延長トライアルをリクエストして、MosyleがAppleと連携するために必要なすべてである理由を確認してください

前回のSecurity Biteで報告したように、Macの人気の高まりに伴い、macOSを標的としたマルウェアが急増しています。昨年は21種類の新たなマルウェアファミリーが実環境で発見され、2022年から50%増加しました。

にもかかわらず、脅威アクターはApple製品を標的にしないという誤解が依然として広く存在します。これは過去には真実だったかもしれませんが、今日では全く当てはまりません。マルウェア攻撃の数は増加しているだけでなく、かつてないほど巧妙化しています。

仕組み

MacPaw のサイバーセキュリティ部門である Moonlock は、新しいマルウェア サンプルがパスワード窃盗ウェア (PSW) の亜種であることを発見しました。PSW は、感染したマシンからログイン情報とパスワードを収集し、リモート接続または電子メールを介して脅威の実行者に送信するように設計されたトロイの木馬型マルウェアの一種です。

このマルウェアは、GTA 6のコピーかNotionの海賊版を装います。これは、よく使われるソーシャルエンジニアリングの手口で、ユーザーの信頼を悪用し、馴染みのある用語を使ってマルウェアをダウンロードさせようとするものです。

注目すべきは、すべてのMacにmacOS Gatekeeperのバージョンがインストールされていることです。これはバックグラウンドで動作し、マルウェアを含む可能性のある未署名のアプリケーションをインターネットからダウンロードするのを防ぎます。しかし、ユーザーはDMGファイルを右クリックして「開く」を選択するだけで、このセキュリティ機能を無効化できます。サイバー犯罪者はこの容易さを悪用し、悪意のあるファイルの開き方をユーザーに指示する画像を挿入します。

GatekeeperをバイパスしてDMGをインストールする方法をユーザーに示すウィンドウ。Moonlock経由

実行されると、DMG は AppleApp という名前の Mach-O ファイルを展開します。

「その後、AppleAppはロシアのIPアドレスから特定のURLへのGETリクエストを開始します。接続に成功すると、プログラムは部分的に難読化されたAppleScriptとBashのペイロードのダウンロードを開始します。このペイロードはファイルシステムをバイパスし、アプリケーションメモリから直接実行されます」と、Moonlockは今回の発見に関するブログ投稿で述べています。

実行されると、ペイロードは多面的なアプローチを用いて悪意のある目的を達成します。その順序は以下のとおりです。

  • 認証情報のフィッシング
  • 機密データをターゲットにする
  • システムプロファイリング
  • データの流出

ローカルのキーチェーンデータベースにはユーザーのシステムパスワードでしかアクセスできないため、マルウェアは2つ目の巧妙な手法を実行します。偽のヘルパーアプリのインストールウィンドウを表示し、ユーザーの信頼をさらに悪用してパスワードを漏らさせようとします。

ヘルパーウィンドウの視覚的な例。このマルウェアサンプルとは無関係です。

このマルウェアは、キーチェーン データベースやその他の多くの機密データ ソースをターゲットにし始めています。

「このマルウェアはシステムディレクトリを精緻に探索し、Chrome、Firefox、Brave、Edge、Opera、OperaGXといった人気ウェブブラウザのCookie、フォーム履歴、ログイン認証情報といった貴重なデータを探します。さらに、FileZillaの最新サーバーリスト、macOSキーチェーンデータベース、そして暗号通貨ウォレットも探します。」

さらに、より高度なAppleScriptを使用して、マルウェアはユーザーのホームディレクトリ内に秘密のフォルダを作成します。収集されたログイン情報、パスワード、キーはここに保存され、感染したシステムからサイバー犯罪者が管理する外部サーバーに抽出されるまで保存されます。

Apple Bashペイロードはデータ流出のメカニズムを示しています。Moonlock経由

macOSのマルウェアから身を守る方法

マルウェア全体のうち、Macユーザーを標的とするものは約6%に過ぎませんが、脅威アクターはこれまで以上に積極的にmacOSを狙っています。常に警戒を怠らず、インターネットの常識を守り続けることが重要です。

これらのヒントの多くはすでにご存知かもしれませんが、macOS の窃盗犯に関連して、もう一度繰り返しておくことが重要だと思います。

  • 公式Mac App Store以外から何かをインストールする前に、十分な注意を払ってください。
  • いかなる状況においても、ユーザーはゲートキーパーをバイパスする指示に従わないでください。
  •  システムプロンプトや機密情報の要求には注意してください
  •  最新の脅威や脆弱性から保護するために、デバイスとアプリケーションを最新の状態に保ちます

セキュリティに関する詳細

  • Macで削除できるマルウェアはこちら
  • AppleユーザーがIDパスワードリセットを求める巧妙なフィッシング攻撃の標的に
  • iOS 17.4.1とmacOS 14.4.1には、以下の2つのセキュリティ修正が含まれています。
  • 正規のMacアプリを装った自己破壊型macOSマルウェア

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like