先月9to5Macが偽のPDF変換サイトに隠された検出不可能なMacマルウェアについて警告した後、Appleデバイスの管理とセキュリティのリーダーであるMosyleは、新たなインフォスティーラーを発見しました。ModStealerと名付けられたこのマルウェアは、約1か月前にVirusTotalに初めて登場して以来、主要なウイルス対策エンジンで検出されていません。

9to5Macに独占的に提供された詳細情報によると、ModStealer は macOS システムをターゲットにしているだけでなく、クロスプラットフォームであり、データの盗難という 1 つの目的のために構築されているとのことです。

Mosyleの分析によると、ModStealerは開発者を狙った悪意のある求人広告を通じて被害者に配信されています。Node.jsで記述された高度に難読化されたJavaScriptファイルを使用しており、シグネチャベースの防御では全く検出できません。また、このマルウェアはMacユーザーだけでなく、WindowsやLinux環境も危険にさらされています。

このマルウェアの主な目的はデータの窃取であり、特に暗号通貨ウォレット、認証情報ファイル、設定情報、証明書に重点が置かれています。Mosyleは、Safariを含む56種類のブラウザウォレット拡張機能を標的とし、秘密鍵や機密性の高いアカウント情報を抜き出すように設計されたプリロードコードを発見しました。

同社の研究者らは、ModStealerがクリップボードキャプチャ、スクリーンキャプチャ、そしてリモートコード実行機能を備えていることも発見しました。最初の2つは悪質ですが、後者は攻撃者に感染デバイスをほぼ完全に制御させる可能性があります。

この発見が特に憂慮すべきなのは、ModStealerのステルス性です。検出不能なマルウェアは、シグネチャベースの検出では大きな問題となります。なぜなら、ModStealerはフラグ付けされることなく、気づかれずに活動を続ける可能性があるからです。

macOSでは、このマルウェアはApple独自のlaunchctlツールを悪用し、LaunchAgentとして自身を埋め込むことで、被害者のMacに永続的、つまり長期間にわたって検知されない状態で存在し続ける。そこから密かに活動を監視し、機密情報をリモートサーバーに持ち出す。Mosyleの研究者によると、窃取されたデータをホストするサーバーはフィンランドにあるようだが、ドイツのインフラに接続されており、これは攻撃者の実際の所在地を隠すためだろう。

Mosyleは、ModStealerがMaaS（Malware-as-a-Service）のプロファイルに当てはまると考えています。これは、マルウェア開発者が悪意のあるパッケージを作成し、技術スキルの乏しいアフィリエイト（アフィリエイト）に販売する仕組みです。アフィリエイトは既製のマルウェアを入手し、それを任意の場所に誘導することができます。

こうしたビジネスモデルはサイバー犯罪者グループの間でますます人気が高まっており、特にModStealerのようなインフォスティーラーの拡散に利用されています。Jamfは今年初め、インフォスティーラー型マルウェアが28%急増し、2025年にはMacマルウェアファミリーの主流になると報告しました。

「セキュリティ専門家、開発者、そしてエンドユーザーにとって、これはシグネチャベースの保護だけでは不十分であることを改めて認識させるものです。継続的な監視、行動ベースの防御、そして新たな脅威への対応は、敵対者に先手を打つために不可欠です」とモシル氏は警告します。

侵害の兆候:

• SHA256 ハッシュ: 8195148d1f697539e206a3db1018d3f2d6daf61a207c71a93ec659697d219e84

• ファイル名: .sysupdater[.]dat

• C2サーバーのIPアドレス: 95.217.121[.]184

havebin.com を Google ニュース フィードに追加します。