アンドリュー・オール
· 2分で読めます
新たなMacマルウェアが暗号通貨ウォレットを標的に
最近発見された「Realst」と呼ばれるMacマルウェアは現在、暗号通貨ウォレットを盗む大規模な攻撃に使用されており、開発中のmacOS Sonomaも標的にしている。
セキュリティ研究者のiamdeadlyzが、偽のブロックチェーンゲームを装ってWindowsとmacOSの両方のユーザーに配布されているマルウェアを発見しました。この悪意のあるソフトウェアは、「Brawl Earth」「WildWorld」「Dawnland」「Destruction」「Evolion」「Pearl」「Olymp of Reptiles」「SaintLegend」といった紛らわしい名前を冠しています。
攻撃者はソーシャル メディア プラットフォームでこれらのゲームを宣伝し、ダイレクト メッセージを通じてアクセス コードを配布して、ユーザーがリンクされた Web サイトから偽のゲーム クライアントをダウンロードできるようにします。
ゲームインストーラーは、デバイスに情報窃取マルウェアを感染させるように設計されています。WindowsではRedLine Stealerが含まれ、macOSではRealstがインストールされます。
この悪意のあるソフトウェアは、被害者のウェブブラウザや暗号通貨ウォレットアプリケーションからデータを抽出し、盗んだ情報を攻撃の背後にいる人物に送り返すようにプログラムされています。
最もリアルなマルウェア
サイバーセキュリティ企業のSentinelOneは、Realstマルウェアの59のサンプルを分析し、16の異なる亜種を特定しました。これは、活発かつ急速な発展を示唆しています。このマルウェアは、様々なブラウザとTelegramアプリを標的としていますが、Safariは標的としていません。
マルウェアの亜種は、その特性に基づいて4つの主要なファミリーに分類されます。これらの亜種はそれぞれ異なる手法を用いてユーザーを騙し、パスワードを入力させ、それを使ってデータを盗みます。
マルウェアコード内の特定の文字列は、作成者がmacOS 14 Sonomaのリリースに向けて準備を進めていることを示唆しています。これらの悪意のあるWebサイトにアクセスするMacユーザーは、情報窃取型マルウェア「Realst」の配布に遭遇することになります。
このマルウェアはMacデバイスを標的とし、PKGインストーラーやDMGディスクファイルに偽装されています。これらのファイルには悪意のあるMach-Oファイルが含まれていますが、正規のゲームやその他のおとりソフトウェアは含まれていません。
SentinelOneの調査により、マルウェアの特定のサンプルは、正規のApple Developer ID(現在は無効化されている)またはアドホック署名を使用してコード署名されていることが明らかになりました。これは、セキュリティツールによる検出を回避するための戦術です。
Realstから身を守る方法
「Realst」のようなマルウェアの脅威から身を守るには、オペレーティングシステムと関連ソフトウェアを常に最新の状態に保つことが不可欠です。ただし、今回のケースでは、macOS Sonomaへのアップデートだけでは不十分かもしれません。
ソフトウェアやファイルをダウンロードする際は、常に注意が必要です。特に、迷惑メッセージやメールで宣伝されている場合は注意が必要です。信頼できるウイルス対策ソフトウェアとマルウェア対策ソフトウェアをインストールし、定期的に更新とスキャンを行うことをお勧めします。
このマルウェアの主な目的は暗号通貨ウォレットとその中の資金を盗むことなので、Mac ユーザーはブロックチェーン ゲームには注意することをお勧めします。
