Jamf Threat LabsがMaccy Appに偽装したPamStealerマルウェアを特定

Jamf Threat Labs は、オープンソースのクリップボード管理ツール Maccy を装った、PamStealer と呼ばれる新しい Rust ベースの macOS 情報窃取型マルウェアを特定しました。 木曜日に公開されたレポートで、同サイバーセキュリティ企業は、このキャンペーンが偽のウェブサイトを使用して、Mac ユーザーからパスワードや暗号通貨ウォレットの鍵を盗む悪意のある AppleScript ファイルを配布していると述べています。 Jamf Threat Labs によると、このマルウェアは、被害者のログインパスワードを収集する前に、macOS Pluggable Authentication Modules (PAM) を通じて検証します。 この発見は、攻撃者がマルウェアを正規のソフトウェアに偽装し、信頼された開発者プラットフォームや広告チャネルを悪用するという、より広範な傾向を反映しています。

Jamf Threat Labs、PamStealer の配布方法を発見

Jamf Threat Labs によると、このキャンペーンは、Maccy.scpt という悪意のある AppleScript ファイルを含むディスクイメージを配布するために、偽のウェブサイトを使用しています。 開かれると、ファイルは Apple のスクリプトエディタで実行するようにユーザーに指示するメッセージを表示し、悪意のあるコードをドキュメントの下の方に隠します。

「私たちは、このマルウェアを、その中核的な動作の1つである、収集前に macOS Pluggable Authentication Modules (PAM) を通じて被害者のログインパスワードを検証することから、PamStealer という名前で追跡しています」と Jamf Threat Labs はレポートに記述しています。

Jamf Threat Labs のディレクター Jaron Bradley 氏は Decrypt に対し、攻撃者がユーザーを悪意のあるアプリに誘導するために Google 広告枠を購入していると語りました。 「私たちは最近、X 上でも悪意のある広告がホストされているのを観測しました」と Bradley 氏は述べました。 「これらのソーシャルエンジニアリング手法は非常に成功することが証明されています」

PamStealer、高度な回避技術を採用

このマルウェアは、JavaScript for Automation とネイティブの macOS API を使用して、curl や zsh などの一般的なシェルユーティリティに依存せずに第2ステージのペイロードをダウンロードし、セキュリティツールが監視できるプロセス数を減らします。

レポートによると、第2ステージは Apple Silicon Mac 向けに設計された Rust ベースのバイナリで、Finder または Software Update を装います。 「ドロッパーは設定を平文で保存するのではなく、ホストのフィンガープリント(CPUアーキテクチャ、ロケール、キーボードレイアウト、タイムゾーンを含む)からキーを導出し、それを使用してペイロードURLとインストールパスを含む暗号化・整合性チェック済みの設定をロック解除します」と同社は述べています。

マルウェアが意図されたターゲット上で実行されていることを確認できない場合、静かにシャットダウンします。

マルウェアの機能:資格情報の窃取と永続化

インストールされると、マルウェアはブラウザの資格情報やキーチェーンデータを盗み、クリップボードの内容を監視し、永続化を確立し、暗号化された通信を使用して盗んだ情報をリモートのコマンド&コントロールサーバーに送信できます。

マルウェアは、フルディスクアクセスを許可するよう求める偽のFinderアラートを表示して、アクセス範囲を拡大しようとします。 このプロンプトは感染後最大40分後に表示される可能性があり、ユーザーが元のダウンロードと関連付ける可能性が低くなります。 承認されると、マルウェアはメール、メッセージ、Time Machine バックアップなどの保護されたデータにアクセスできます。

Bradley 氏によると、Jamf は PamStealer が実環境で活動しているという証拠を観測していません。 同社は Apple に発見事項を通知しました。 Apple は Decrypt によるコメント要請にすぐには応じませんでした。

Jamf、関連する X プラットフォームのキャンペーンを特定

Jamf は、同様のソーシャルエンジニアリング手法が他のプラットフォームに広がっていると述べています。 先週の X への投稿で、同社は DynamicLake を宣伝する X 上のスポンサー広告を調査中であると述べました。この広告はユーザーを dynamicmacisland[.]com にリダイレクトし、そこでターミナルを開いてインストールコマンドを実行するよう指示されました。

「広告は X の認証済みアカウントを通じて配信され、ソーシャルエンジニアリングにさらなる信頼の層を加えました」と同社は記述しています。 ペイロードの分析により、最近の Atomic (MacSync) Stealer の亜種が明らかになりました。

発見はより広範なマルウェアの傾向を反映

これらの発見は、攻撃者がますますマルウェアを正規のソフトウェアに偽装し、信頼された開発者プラットフォームや広告チャネルを悪用している中で生じました。 最近のキャンペーンには、Rust ベースの情報窃取型マルウェアを配布する前に Hugging Face のトレンドプロジェクトのトップに達した偽の OpenAI リポジトリ、GitHub が約3,800の内部リポジトリを公開したと述べた悪意のある Visual Studio Code 拡張機能、そして OpenAI や Mistral AI を含む AI 企業が使用する開発ツールを標的とした Shai-Hulud ソフトウェアサプライチェーンキャンペーンが含まれます。

FAQ

PamStealer マルウェアとは何か、どのようにMacユーザーを標的にするのか?

PamStealer は、Jamf Threat Labs によって特定された Rust ベースの macOS 情報窃取型マルウェアで、オープンソースのクリップボード管理ツール Maccy を装っています。 マルウェアは、悪意のある AppleScript ファイルを配信する偽のウェブサイトを通じて配布されます。 ブラウザの資格情報やキーチェーンデータを盗み、クリップボードの内容を監視する前に、macOS Pluggable Authentication Modules (PAM) を通じて被害者のログインパスワードを検証します。

PamStealer はどのようにセキュリティツールによる検出を回避するのか?

Jamf Threat Labs によると、PamStealer は JavaScript for Automation とネイティブの macOS API を使用して、curl や zsh などの一般的なシェルユーティリティに依存せずに第2ステージのペイロードをダウンロードし、セキュリティツールが監視できるプロセス数を減らします。 マルウェアはまた、ホストのフィンガープリントからキーを導出して暗号化された設定をロック解除し、意図されたターゲット上で実行されていることを確認できない場合はシャットダウンします。

Jamf は PamStealer がアクティブな攻撃で使用されているのを観測しましたか?

Jamf Threat Labs のディレクター Jaron Bradley 氏によると、Jamf は PamStealer が実環境で活動しているという証拠を観測していません。 同社は Apple に発見事項を通知しましたが、Apple は Decrypt によるコメント要請にすぐには応じませんでした。

免責事項:本ページの情報には第三者提供の内容が含まれる場合があり、参考目的のみで提供されています。これらはGateの見解や意見を示すものではなく、金融、投資、または法律上の助言を構成するものでもありません。暗号資産取引には高いリスクが伴います。意思決定を行う際には、本ページの情報のみに依存しないでください。詳細については、免責事項をご確認ください。
コメント
0/400
コメントなし