Last Updated on 2024-07-13 02:51 by 荒木 啓介
Macユーザーを狙った新しいマルウェアキャンペーンが発見され、偽のMicrosoft Teams広告を通じてAtomic Stealerを配布している。この攻撃は、Poseidon(OSX.RodStealer)プロジェクトに続くものであり、同様のコードベースと配信技術を使用している。Microsoft Teamsは、犯罪者によって再び人気のあるキーワードとして入札されており、Atomic Stealerによって使用されたのはこれが初めてである。Zoom、Webex、Slackなどのコミュニケーションツールは、マルウェアを仕込んだ偽のインストーラーとして犯罪者によって長年狙われてきた。
この最新のマルウェアキャンペーンは、少なくとも数日間実行され、検出を困難にする高度なフィルタリング技術を使用していた。完全なマルウェア配信チェーンを再現することができた後、広告をGoogleに報告した。悪意のある広告は、最初はMicrosoftのウェブサイトに直接リダイレクトするため、数日間は悪意のある行動が見られなかった。しかし、数回の試みと調整の後、完全な攻撃チェーンが確認された。広告の表示URLにmicrosoft.comのURLが示されていたが、Microsoftとは全く関係がない。広告主は香港に位置し、関連性のない広告を約千件運営している。
悪意のあるリダイレクトとペイロードについて、クリックごとに最初にプロファイリングされ(smart[.]link)、その後、クローキングドメイン(voipfaqs[.]com)を経由して悪意のあるランディング(デコイ)ページ(teamsbusiness[.]org)にリダイレクトされる。被害者は、Teamsのダウンロードボタンが表示されるデコイページに着地する。異なるドメイン(locallyhyped[.]com)へのリクエストが行われ、訪問者ごとに一意のペイロード(ファイル名とサイズ)が生成される。ダウンロードされたファイルMicrosoftTeams_v.(xx).dmgがマウントされると、ユーザーは右クリックを通じてそれを開くよう指示される。これは、署名されていないインストーラーに対するAppleの組み込み保護メカニズムを回避するためである。インストールの手順を実行する際には、パスワードの入力とファイルシステムへのアクセス許可が求められるが、これはAtomic Stealerがキーチェーンのパスワードと重要なファイルを盗むために必要な操作である。データ盗難の後、データの外部送信ステップがあり、これはネットワークパケット収集ツールを通じてのみ可視化される。リモートWebサーバー(147.45.43[.]136)への単一のPOSTリクエストが、データがエンコードされた状態で行われる。
対策として、サイバー犯罪者が配布キャンペーンを強化するにつれ、検索エンジンを介してアプリケーションをダウンロードすることはより危険になる。ユーザーは、マルウェア広告(スポンサー付き結果)とSEOポイズニング(侵害されたウェブサイト)の間を慎重にナビゲートする必要がある。このようなリスクを軽減するために、広告や悪意のあるウェブサイトをブロックできるブラウザ保護ツールの使用を推奨する。犯罪者はしばしば、広告や侵害されたネットワークからのリダイレクトに依存するが、これらは悪意のあるインストーラーをダウンロードする前に停止することができる。Malwarebytes for Macは、この脅威をOSX.AtomStealerとして検出する。
【ニュース解説】
Macユーザーを狙った新たなマルウェアキャンペーンが発見されました。このキャンペーンでは、偽のMicrosoft Teamsの広告を通じて、Atomic Stealerというマルウェアが配布されています。この攻撃は、同様のコードベースと配信技術を使用するPoseidon(OSX.RodStealer)プロジェクトに続くものであり、Microsoft Teamsを悪用することはAtomic Stealerにとって初めてのことです。
このキャンペーンは、高度なフィルタリング技術を使用しており、少なくとも数日間にわたって実行されていました。悪意のある広告は、最初はMicrosoftの公式ウェブサイトに直接リダイレクトするため、悪意のある行動がすぐには見られませんでした。しかし、複数の試みと調整の後、完全な攻撃チェーンが確認されました。
この攻撃では、ユーザーがダウンロードしたファイルを開く際に、Appleの組み込み保護メカニズムを回避するよう指示されます。これにより、Atomic Stealerはキーチェーンのパスワードや重要なファイルを盗むことが可能になります。データ盗難の後、盗まれたデータはリモートのWebサーバーに送信されます。
このような攻撃に対する対策としては、検索エンジンを介してアプリケーションをダウンロードする際のリスクを理解し、広告や悪意のあるウェブサイトをブロックできるブラウザ保護ツールの使用が推奨されます。また、犯罪者は広告や侵害されたネットワークからのリダイレクトを利用することが多いため、これらを事前に停止することが重要です。
この攻撃は、Macユーザーにとって新たな警告となります。コミュニケーションツールが犯罪者によって悪用される事例は以前からありましたが、特に人気のあるアプリケーションを標的とすることで、より多くのユーザーが被害に遭う可能性があります。ユーザーは、ダウンロードする際には公式のウェブサイトや信頼できるソースからのみ行うようにし、不審な広告やリンクには注意を払う必要があります。
