セキュリティ企業は、偽のMacサポートページを乗っ取ってパスワード、ブラウザデータ、暗号通貨を盗む大規模なマルウェア攻撃をブロックしたと発表した。
2025年6月から8月にかけて、CrowdStrikeのFalconプラットフォームは、Atomic Stealerの亜種であるShamosを配信する試みを300件以上検出しました。この攻撃は、サブスクリプションベースで他の犯罪者にマルウェアを貸し出すグループ「Cookie Spider」によって実行されました。
攻撃者はマルバタイジング(悪意のある広告)を利用し、偽サイトを有料検索結果に紛れ込ませました。macOSのDNSキャッシュをフラッシュする方法など、日常的な問題解決方法を探している人は、偽のサポートページにたどり着く危険性がありました。
これらのページには、ターミナルにコマンドを1つコピーするようにという誤解を招く指示がありました。一見簡単な解決策のように見えましたが、そのコマンドはAppleのGatekeeperチェックを回避し、隠しインストーラをダウンロードするものでした。
コマンドはプレーンテキストで記述されている場合もあれば、Base64エンコードで偽装されている場合もありました。いずれにせよ、被害者のパスワードを取得し、Shamosバイナリを埋め込んで永続性を確立した同じスクリプトが起動されました。
シャモスが盗むもの
Shamosはインストールされると、Mac上でAppleキーチェーンのエントリ、ブラウザデータ、メモ帳などの機密ファイルを検索します。また、近年のマルウェア攻撃で頻繁に標的となる暗号通貨ウォレットも探します。
マルバタイジングの宣伝ウェブサイトを含む検索エンジンの検索結果のスクリーンショット。画像提供:CrowdStrike
盗まれたファイルは圧縮され、macOSの標準コマンドラインツールであるcurlユーティリティを使用して持ち出されました。研究者らはまた、このマルウェアが偽装されたLedger Liveアプリと、攻撃範囲を拡大するボットネットモジュールをダウンロードしていることも発見しました。
Shamosは永続性を確保するために、システム起動時に毎回リロードされるようLaunchDaemonsエントリを埋め込んでいました。また、サンドボックス環境や仮想環境での検出を回避するためのチェックも実行していました。
なぜ詐欺が成功したのか
このキャンペーンの成功は、単純なトリックにかかっていました。ソーシャルエンジニアリングは専門用語で巧妙に操られていたのです。
公式の指示らしきものを見た多くのMacユーザーは、安全だと思い込んでしまった可能性が高い。検索広告を利用することで、攻撃者は怪しいメールやトレントに頼る必要がなかったのだ。
犯罪者たちはロシアや旧ソ連諸国を標的にすることを避けました。アンダーグラウンドフォーラムでは、法執行機関とのトラブルを避けるため、運営者による現地ユーザーへの攻撃を禁止することがよくあります。
Falconプラットフォームは、機械学習と行動ベースのアラートを組み合わせてこのキャンペーンを検知しました。同社によると、このプラットフォームは、シェルスクリプトの最初のダウンロードと実行を含む、攻撃チェーンの複数のポイントでShamosを阻止しました。
CrowdStrikeは、mac-safer.comやrescue-mac.comといった悪意のあるドメインを含む、侵害の兆候も公開しました。セキュリティチームは、これらのURLに関連するアクティビティを確認するよう強く求められました。
macOSのセキュリティへの影響
Appleは長年、macOSを安全な環境として宣伝してきましたが、Atomicやその亜種のような特殊なマルウェアの台頭により、その評判は揺らいでいます。未検証のソフトウェアをブロックするように設計されたGatekeeperは、たった1行のコードで回避されました。
tmpからのバイナリ実行におけるFalcon UIによる検出。画像提供:CrowdStrike
利便性は双方向に作用します。ワンラインインストーラーは正規ツールには便利ですが、犯罪者にとってはマルウェアを忍び込ませるのを容易にします。この手法は、2024年まで遡る複数のキャンペーンで既に使用されています。
CrowdStrikeは、犯罪者がマルバタイジングやワンラインインストールコマンドを使い続けると予想しています。このアプローチは有効であり、人々が検索結果からの迅速な修正プログラムを信頼する限り、多くの被害者が出るでしょう。
安全を保つ方法
Macユーザーは慌てる必要はありませんが、注意が必要です。最も安全な方法は、検証されていないウェブサイトからのターミナルコマンドを貼り付けないことです。システムレベルのヘルプについては、Appleの公式ドキュメントや確立された開発者フォーラムの方がはるかに安全なリソースです。
Mac App Storeまたは検証済みの開発者サイトからのみアプリをインストールすることで、リスクを大幅に軽減できます。macOSを最新の状態に保つことで、既知のセキュリティ上の欠陥が迅速に修正されます。
専門家は、CrowdStrike Falcon やその他の信頼できるツールなど、悪意のあるスクリプトをリアルタイムで検出できるエンドポイント保護ソフトウェアの使用も推奨しています。
何よりも、技術的な問題を即座に解決すると約束するウェブサイトには疑いの目を向けましょう。数分かけて情報源を確認することで、問題が解決するか、デジタルキーを渡してしまうかの違いが生じる可能性があります。
