9to5Mac Security Biteは、Apple統合プラットフォームであるMosyleが独占的に提供しています。Appleデバイスをすぐに使用でき、企業にとって安全なものにすることが私たちの使命です。管理とセキュリティに対する独自の統合アプローチは、完全に自動化された強化とコンプライアンス、次世代EDR、AI搭載ゼロトラスト、独自の権限管理のための最先端のApple固有のセキュリティソリューションと、市場で最も強力で最新のApple MDMを組み合わせています。その結果、完全に自動化されたApple統合プラットフォームが誕生しました。現在45,000を超える組織から信頼されており、何百万台ものAppleデバイスを手間をかけずに手頃な価格ですぐに使用できます。今すぐ延長トライアルをリクエストして、MosyleがAppleと連携するために必要なすべてである理由を確認してください。

2023年に台頭して以来、AMOS（Atomic macOS Stealer）はAppleエコシステムを標的とする最も悪名高い情報窃盗マルウェアとなっています。macOSシステムからあらゆる種類の機密情報をひそかに抜き出すように設計されたこのマルウェアは、セキュリティ研究者、ジャーナリスト、そしておそらく被害者の間でも広く知られています。

しかし現在、MacPawのサイバーセキュリティ部門であるMoonlockは、ダークネットフォーラムの隠れた一角で人気を集めているインフォスティーラーを悪用する新たな脅威アクターを追跡していると発表しました。今週のセキュリティバイトでは、この興味深い新たな脅威と、それがmacOS環境全体にどのような影響を与えているのかについて解説します。

ロシア起源とみられるこの新手のマルウェア開発者は、「mentalpositive」という別名で活動しており、その製品であるMac.cという名称のインフォスティーラーもその名で知られている。mentalpositiveの活動開始からわずか4ヶ月だが、「Mac.cは既にAtomic macOS Stealerのような大規模で確立されたスティーラー攻撃と競合している」とMoonlockはHackerNoonのブログ記事で述べている。

Mentalpositiveの、より計画的で、異例なほど透明性が高い公開開発アプローチは、かなり好評のようです。マルウェア開発者は進捗状況を共有し、以前のMac.cビルドへのフィードバックを求めています。これは、秘密主義のマルウェア開発の世界では滅多に見られない光景です。これで、クラウドソーシングによるマルウェア開発は2025年のビンゴカードから消え去ることでしょう…

技術面では、Mac.cはAMOSやRodrigo4とコードレベルの類似点がありますが、迅速かつ影響力の大きいデータ窃取に最適化されています。バイナリを簡素化することで、マルウェアのダウンロード速度が上がり、静的なアーティファクトが減少するため、分析中の検出が困難になっています。また、アップデートごとにURLが追加されていることも確認されており、このコマンドアンドコントロールインフラはより大規模な攻撃活動の一部である可能性が高いことが示唆されています。

「こうした宣伝は、知名度を高め、独自の市場プレゼンスを確立しようとする意図を示している可能性があります。また、macOSの脅威というニッチ市場を狙った、カスタムメイドのStealer-as-a-Service（SaaS）ビジネスモデルの基盤を築くものでもあるようです」とムーンロック氏は述べている。

さらに、mentalpositiveは、Mac.cインフォスティーラーの購入者向けにウェブベースのインターフェースも提供しています。このパネルを通して、購入者はスティーラーのカスタムビルド（XProtectの回避に役立つ）を生成したり、感染統計（成功と失敗）を監視したり、キャンペーンの様々な詳細を管理したりできます。このインターフェースは、彼らがどれほどひどい人間であるか以外の全てを明らかにします。

「執筆時点での[mentalpositiveからの]最新の投稿では、追加のアップデートが概説されています」とMoonlock氏は述べています。「これには、独自のビルドをゼロから生成してXProtectを回避する機能、対応ブラウザのリスト拡張、コントロールパネル経由のファイルグラバーの有効化、そして特に注目すべきは、Trezorシードフレーズをフィッシングするための独立したモジュールが含まれています。」

macOSの脅威の拡大

macOSマルウェア市場はWindowsマルウェア市場に比べると依然としてはるかに規模が小さいものの、サイバー犯罪者の間ではますます人気が高まっています。その理由は単純明快、つまり人気の高さです。昨年第4四半期、Macの出荷台数は米国におけるすべてのPCメーカーを上回り、前年比25.9%増となりました。調査会社Canalysによると、Appleのコンピュータ市場（タブレットを除く）におけるシェアは現在約17.1%です。

これは水に浮かぶ血の海です。macOSの脅威市場は、プラットフォームに新たに参入するユーザーを狙う商業的野心的なマルウェア開発者にとって、ますます魅力的なものになりつつあります。AppleがGatekeeperの無効化を困難にし、XProtectで強化しようと努力しているにもかかわらず、企業ユーザーと個人ユーザーのMacユーザーは記録的な割合で被害に遭っています。

特にインフォスティーラーについては、様々な理由から、その人気は急上昇を続けています。Jamfの調査によると、インフォスティーラーはアドウェアを抜いてマルウェアの主流となり、検出されたMacマルウェア全体の28.36%を占めています。

なぜ人気が高まったのでしょうか?

これは、アクセスのしやすさと参入障壁の低さに一因があります。例えば、mentalpositiveのようなサイバー犯罪者は、マルウェア・アズ・ア・サービス（MaaS）ビジネスを展開するケースが増えています。これは、マルウェア開発者がインフォスティーラーなどのツールを開発・保守し、技術スキルの低いアフィリエートに貸し出すというものです。アフィリエートは、既製のマルウェアパッケージを入手し、それを標的に攻撃を仕掛けます。

その他の要因としては、ランサムウェアなどの攻撃による迅速な身代金支払いが挙げられますが、何らかの返金が見られるまでには数週間から数か月かかることもあります。

インフォスティーラーから身を守る方法

Apple は、インターネットに潜む危険なものからユーザーを保護するために、すべての Mac に多くの貴重なバックグラウンド サービスをプリインストールしていますが、多くの場合、それだけでは十分ではありません。

これらのヒントの多くはすでにご存知かもしれませんが、大勢の人のためにもう一度説明することが重要だと思います。

• 公式Mac App Store以外から何かをインストールする前に、十分な注意を払ってください。

• リンクを開く前にマウスオーバーして確認してください

• 強力で複雑なパスワードと 2 段階認証（可能であれば SMS 以外、OTP が最適）を使用します。

• Macで権限を付与する際には注意してください

• デバイスとアプリケーションを最新の状態に保つ
  

HackerNoon で Moonlock による Mac.c の完全な分析をご覧ください。

Follow Arin: Twitter/X, LinkedIn, Threads

havebin.com を Google ニュース フィードに追加します。