サイバー犯罪者は、マルウェアを配布するために偽のソフトウェアアップデートを利用することを増やしており、Mac ユーザーは新たな亜種の標的となっている。
研究者らは、Webインジェクションキャンペーンを用いてマルウェアを拡散する2人の新たな脅威アクター(TA2726とTA2727)を特定しました。これらのアクターは、偽のアップデートルアー(多くの場合、ブラウザのアップデートを装う)を用いてユーザーを誘導し、有害なソフトウェアをダウンロードさせようとします。これには、新たに発見されたmacOSマルウェア「FrigidStealer」も含まれます。
歴史的に、脅威アクターTA569とそのSocGholish Webインジェクションは偽アップデート空間を席巻し、しばしばランサムウェア攻撃を引き起こしていました。しかし、2023年以降、模倣犯の出現が始まり、これらの脅威を追跡する取り組みが複雑化しています。
この発見を行ったチームである Proofpointによると、同様の戦術を使用する新しいプレーヤーの流入により、アナリストが脅威のプレーヤーとそのキャンペーンを区別することが困難になっているという。
FrigidStealerマルウェア
FrigidStealerは、macOSを特に狙った新たな情報窃取マルウェアです。このマルウェアは、偽のブラウザ更新プロンプトを表示する、侵害されたウェブサイトを通じて拡散します。
Mac ユーザーが「アップデート」ボタンをクリックすると、知らないうちに悪意のある DMG ファイルをダウンロードしてしまいます。
このスクリプトには、侵入したユーザーのシステムから盗み出すことができる拡張機能やCookieが含まれています。画像クレジット:Proofpoint
FrigidStealerはインストールされると、AppleScriptとosascriptを利用して、ブラウザのCookie、暗号通貨関連ファイル、さらにはApple Notesなどの機密データを収集します。Apple Notes内のロックされたメモはエンドツーエンドで暗号化されていますが、ロックされていないメモや、デスクトップフォルダやドキュメントフォルダにプレーンファイルとして保存されているメモは、脆弱になる可能性があります。
盗まれたデータはaskforupdate[.]orgにあるコマンド&コントロールサーバーに送信されます。攻撃チェーンは、ユーザーが侵害されたウェブサイトにアクセスした時点で開始されます。
TA2726のTDSは、TA2727が管理する悪意のあるドメインにユーザーをリダイレクトします。ユーザーのデバイスとブラウザに応じて、カスタマイズされた偽のアップデートプロンプトが表示されます。Macユーザーの場合、マルウェアは正規のGoogle ChromeまたはSafariのアップデートのように見えます。
「アップデート」ボタンをクリックすると、悪意のあるDMGファイルがダウンロードされ、インストールプロセス中にmacOS Gatekeeperのセキュリティを回避するようにユーザーに促します。その後、FrigidStealerはWailsIOでビルドされたMach-O実行ファイルを実行し、偽のインストーラーを本物らしく見せかけます。
マルウェアは機密データを抽出し、それをコマンドアンドコントロールサーバーに持ち出して攻撃を完了します。
FrigidStealerから身を守る方法
偽のアップデート詐欺から身を守るには、予期せぬソフトウェアアップデートの通知には常に注意が必要です。特にウェブ閲覧中に表示される場合は注意が必要です。ポップアップをクリックするのではなく、公式サイトに直接アクセスするか、アプリに搭載されているアップデート機能を使って、正規のソフトウェアを入手していることを確認してください。
最後に、セキュリティ ソフトウェアを最新の状態に保つことで、潜在的な脅威を検出してブロックするのに役立ちます。
