4月に発見されたmacOSマルウェアが新たな攻撃ベクトルを発見し、Googleでソフトウェアを検索した人が正規の広告として表示されるマルウェアを見つける事態となっている。
Atomic macOS Stealer(AMOS)として知られるマルウェアペイロードは、4月にTelegramで月額1,000ドルで販売された際に初めて登場しました。インストールされると、攻撃的なポップアップを介してユーザーのシステムパスワードを収集し、パスワード、暗号、ファイルなどの機密データを盗み出します。
Malwarebytesの研究者による報告によると、AMOSはGoogleの広告スキームを通じて、何も知らない検索ユーザーに配信されています。広告は合法で有料ですが、ユーザーが検索しているウェブサイトやソフトウェアを装っています。
この攻撃は、ユーザーがGoogleの広告検索結果をクリックする際に、Googleへの信頼を悪用します。広告はページ上部に表示され、Googleの広告承認マークが付いているため、ユーザーは疑わしいURLやドメイン所有者を確認することなくクリックしてしまいます。
ユーザーがリンクをクリックすると、一見普通のページが表示されます。攻撃者は、ユーザーが期待するウェブサイトのほぼ完璧な複製を作成し、ユーザーはクリックしてソフトウェアをダウンロードします。
AMOSはアドホック署名アプリであるため、Gatekeeperを介した通常のインストールプロセスを実行する必要はありません。ユーザーは、マウントされた.dmgファイルを右クリックしてソフトウェアを開くように指示されます。
ファイルが開かれると、偽のシステムパスワード入力プロンプトがポップアップ表示され続け、ユーザーが納得してパスワードを入力するまで続きます。その後、ユーザーのキーチェーン、ファイルシステム、暗号通貨ウォレットから収集可能なデータが収集され、マルウェアの運営者へと送信されます。
偽装されたマルウェア配信ページ。出典:Malwarebytes
AMOSから身を守る方法
Googleは完璧なツールではありません。ユーザーのアカウントデータとキーワードに基づいて情報を提供するため、悪質な広告が審査で必ずしも検出されるとは限りません。
インターネットのセキュリティにおける第一のルールは、URLに注意を払うことです。Malwarebytesが示した例では、URLはtrabingviews.comです。
ユーザーは、Webからソフトウェアをダウンロードする際には常に注意を払う必要があります。MacユーザーにとってMac App Storeは最も安全な方法ですが、常に利用できるとは限りません。
Googleの検索結果、誘導されるURL、そしてソフトウェアのインストーラー自体に注意してください。ソフトウェアのインストール方法にも注意が必要です。ほとんどのソフトウェアは、ユーザーにGatekeeperのバイパスを求めることはありません。
潜在的な危険信号となるのは、インストーラーイメージ上でアプリをその場で開くようユーザーに要求するソフトウェアです。原則として、インストールされたアプリをFinderにドラッグするようユーザーに求めるべきです。
また、特に新しいソフトウェアをインストールした直後は、システムパスワードの入力を突然求められるので注意してください。ダイアログのデザインに不自然な箇所や誤字脱字がないか確認してください。