専門家らは最近、人気のスクリーン録画アプリ Loom を偽装し、Google がスポンサーとなっている偽の URL を通じて拡散された macOS 窃盗マルウェアを発見した。
Moonlock Labは、悪名高いCrazy Evilグループによって作成された、Loomを装った高度なmacOS窃盗マルウェアを発見しました。このマルウェアは、Googleのスポンサー付きURLを偽装し、ユーザーを誘導して有害なソフトウェアをダウンロードさせます。
調査は、Moonlock Labが公式Loomアプリを宣伝するGoogle広告を発見したことから始まりました。この広告は一見正当なものであり、ユーザーを信頼できるソースをクリックするように誘導していました。
しかし、リンクをクリックすると、ユーザーはsmokecoffeeshop[.]comでホストされている、Loomの公式サイトとほぼ同一のサイトにリダイレクトされ、Loomと思われるファイル(情報窃取型マルウェアを含む悪意のあるファイル)をダウンロードするよう促されました。
この攻撃はLoomだけにとどまりませんでした。攻撃者は、Figma、TunnelBlick(VPN)、Callzyといった人気アプリケーションの偽バージョンや、BlackDesertPersonalContractforYouTubepartners[.]dmgという疑わしい名前のファイルも作成していました。
欺瞞的なGoogleのスポンサーリンク
最後の例は、YouTube コンテンツ クリエイターをターゲットにしたフィッシング キャンペーンを示唆しています。これは、以前は Windows ユーザーに対して使用されていた戦術ですが、現在は macOS 向けに再利用されています。
2022年には、Windowsユーザーにも同様のフィッシングメールが送信されました。Macユーザーも同様の脅威に直面しており、攻撃者はゲーム会社とコンテンツクリエイターの関係を悪用しています。彼らはブロガーやコンテンツクリエイターに対し、自分のチャンネルで「Black Desert Online」などのゲームを宣伝するための高額な契約を約束して誘い込んでいます。
悪意のあるLedgerLiveクローン
このキャンペーンでは、正規のLedgerLiveアプリを悪意のあるクローンに置き換えるスティーラーが使用されています。LedgerLiveは暗号通貨保有者に広く利用されているため、サイバー犯罪者の標的となっています。
攻撃者は、正規アプリを悪質なバージョンに置き換えることで、被害者の暗号通貨ウォレットにアクセスし、資金を流出させることができます。悪質なクローンは正規アプリの外観と機能を模倣するため、ユーザーが侵害に気付くのが困難です。
Moonlock Labの調査により、感染ファイル内に「Ledger」を含む文字列が見つかり、ユーザーの暗号資産に対する悪意ある意図が裏付けられました。AMOSの亜種として特定されたこのスティーラーは、ファイル、ハードウェア情報、パスワード、ブラウザのデータ、キーチェーンダンプの認証情報などの主要な機能を保持しています。
ダークネットでの採用と帰属
Crazy Evilがダークネットに投稿した募集広告は、macOSスティーラーのこの亜種を使用するチームへの参加を募集しています。募集広告には、信頼性の高い保護や、様々な被害者向けの多様なフォーマットのエクスプロイトといったメリットが詳しく記載されています。
キャンペーンの範囲
興味深いことに、Moonlock Labは、マルウェアとの関連性が高い政府機関にリンクされたIPアドレスと、マルウェアとしてマークされた93個のファイルを特定しました。このIPアドレスは、2024年7月23日から開始されたキャンペーンで使用されたmacOS関連ファイルをホストしていました。
Macユーザーが安全を保つ方法
Macユーザーは、積極的な対策を講じることで自らを守ることができます。Google広告や上位の検索結果など、信頼できるソースからファイルをダウンロードする場合でも、必ずURLを再確認してください。
Moonlock Engineを搭載したCleanMyMac Xなどの信頼性の高いマルウェア対策ツールでデバイスを定期的にスキャンし、悪意のあるソフトウェアが存在しないことを確認してください。既知の脆弱性から保護するために、ソフトウェアを最新の状態に保ちましょう。
最後に、フィッシング詐欺を防ぐため、不明な送信者からの契約や取引の勧誘メールには注意してください。Macに内蔵されているGatekeeperとXProtectは、悪意のあるソフトウェアに対する保護を強化しており、デフォルトで有効になっています。
