MacStealer と呼ばれる新しいマルウェアが Intel および Apple Silicon Mac に感染し、パスワード、クレジットカード情報、その他の個人データを盗んでいることが判明しました。
セキュリティ研究者Uptycsは、メッセージングサービスTelegramを悪用するWindowsベースのマルウェアファミリー3種を発見しました。そして今、チームはMacユーザーに特化したバージョンを発見しました。
「MacStealer」と呼ばれるこのマルウェアは、標的のMacからドキュメント、ブラウザのCookie、ログイン情報を取得する機能を備えています。特に、macOS Catalina以降でIntelまたはApple Siliconチップを搭載したMacで動作します。
このソフトウェアは、窃盗の一環として、Firefox、Google Chrome、Braveブラウザから認証情報とCookieを取得し、キーチェーンデータベースも抽出します。また、MP3、テキストファイル、PDF、PowerPointファイル、写真、データベースなど、様々なファイル形式のセキュリティを確保しようとします。
キーチェーンの取得はユーザーにとって大きな危険のように思えるかもしれませんが、この攻撃はキーチェーン内のデータにアクセスすることなく、キーチェーン全体を盗み取るものです。データベースはTelegramによって取得され、攻撃者に送信されますが、暗号化されたままです。
MacStealerへのアクセスをビルドごとに100ドルで販売している脅威アクターは、抽出されたキーチェーンはマスターパスワードなしでは「ほぼ不可能」だと主張しています。販売の一環として、アクターはデータへのアクセスに関して「偽りの約束はしたくない」と述べており、「近日公開予定」の機能リストには含めていません。
「今後の機能」リストの他の項目には、暗号ウォレットのドレイン、新しいビルドを生成するツール、リバースシェル、カスタムアップローダー、コントロールパネルが含まれます。
MacStealerはファイルとデータを取得すると同時に、Telegramを使用して特定のチャネルに特定の情報を送信します。その後、別のZIPファイルがハッカーが制御するTelegramボットに共有されます。
MacStealerから身を守る方法
このマルウェアがMac間でどのように移動するのかは正確には不明ですが、最初の感染は「weed.dmg」と呼ばれるアプリによって引き起こされました。予想通り、このアプリは葉っぱのアイコンが付いた実行ファイルのように見えます。
ファイルを開こうとすると、偽の macOS パスワードプロンプトが表示され、ツールはそれを使用してシステム上の他のファイルにアクセスします。
![MacStealer の偽の macOS パスワードプロンプト [左]、本物の macOS パスワードプロンプト [右]](https://image.tslro.com/imggkole/61/c6/53669-107925-fake-password-real-one-macstealer-xl.webp)
MacStealer の偽の macOS パスワードプロンプト [左]、本物の macOS パスワードプロンプト [右]
このソフトウェアが使用するパスワードプロンプトは、macOSが提供するものとは明らかに異なるため、経験豊富なMacユーザーであれば、何かが間違っていることに気づくのは比較的容易です。大きな手がかりとなるのは、ユーザー名入力欄が既に入力されていないことです。
Uptycsは、Macシステムをパッチとアップデートで最新の状態に保つことを推奨しています。また、App Storeなどの信頼できるソースからのファイルのみのインストールを許可することを推奨しています。
