「MetaStealer」という新しい情報窃取マルウェアが出現し、Intel ベースの macOS コンピュータからさまざまな機密情報を盗み出します。
MetaStealer は、昨年人気を博した情報窃取ツール「META」と混同しないでください。Go ベースのマルウェアで、Apple に組み込まれているウイルス対策技術 XProtect を回避することができ、ビジネス ユーザーをターゲットにします。
SentinelOne は、過去数か月間このマルウェアを追跡しており、その配布にソーシャル エンジニアリングが異常に関与していることを確認したと報告しています。
このマルウェアは、情報窃取をターゲットとする別の Go ベースの macOS であるAtomic Stealerといくつかの類似点がありますが、コードの重複は限定されており、配信方法は異なります。
したがって、SentinelOne は、MetaStealer は別の操作であると結論付けています。
macOS システムに到着
SentinelOne は、MetaStealer 脅威アクターが企業に連絡し、その企業の顧客になりすましてマルウェアを配布しているというコメントを含むマルウェア サンプルを VirusTotal で発見しました。
「私はデザインクライアントを装った何者かに狙われましたが、異常事態には気づきませんでした。先週仕事で交渉していた男性が、この DMG ファイルを含むパスワードで保護された zip ファイルを私に送ってきました。これは少し奇妙だと思いました」とVirusTotal のコメントは述べています。
「適切な判断に反して、その内容を見るために画像をコンピューターにマウントしました。その中には PDF に偽装されたアプリが含まれていましたが、私はそれを開かなかったので、彼が詐欺師であることに気づきました。」
フィッシングメールにはディスクイメージファイルが添付されており、ファイルシステムにマウントされると、被害者をだましてPDFファイルを開かせる偽の名前の実行可能ファイルが含まれています。
SentinelOne は、次のような Adobe ソフトウェアまたはクライアントの作品にちなんで名付けられた DMG を観察しています。
- 広告掲載規約 (MacOS プレゼンテーション).dmg
- コンセプト A3 フルメニュー、料理と英語への翻訳付き.dmg
- アニメーションポスター.dmg
- Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg
- AdobeOfficialBriefDescription.dmg
- Adobe Photoshop 2023 (AI 付き) installer.dmg
このマルウェアのアプリケーション バンドルには、Info.plist ファイル、アイコン画像が含まれる Resources フォルダ、悪意のある Mach-O 実行可能ファイルが含まれる macOS フォルダという、最低限必要なものが含まれています。
一部のバージョンには Apple Developer ID が含まれていたにもかかわらず、SentinelOne によって検査されたサンプルはどれも署名されていませんでした。
MetaStealer の機能
MetaStealer は、侵害されたシステムに保存されているパスワード、ファイル、アプリ データなどの情報を盗もうとし、ポート 3000 経由で TCP 経由でそれらを流出させようとします。
具体的には、マルウェアの機能により、キーチェーンを盗み出し、保存されているパスワードを抽出したり、システムからファイルを盗んだり、テレグラムやメタ (Facebook) サービスを標的にしたりすることが可能になります。
キーチェーンは、macOS 用のシステムレベルのパスワード管理システムであり、Web サイト、アプリケーション、WiFi ネットワーク、証明書、暗号化キー、クレジット カード情報、さらには個人的なメモの資格情報を管理します。
したがって、キーチェーンの内容の流出は、攻撃者に機密データへのアクセスを与える可能性がある強力な機能です。
現在のバージョンでは、MetaStealer は Intel x86_64 アーキテクチャ上でのみ実行されます。つまり、被害者が Rosetta を使用してマルウェアを実行しない限り、Apple Silicon プロセッサ (M1、M2) 上で実行されている macOS システムを侵害することはできません。
これにより、Intel ベースの Apple コンピュータが段階的に廃止されているため、脅威が軽減され、潜在的な被害者の数が減少し続けています。
ただし、MetaStealer は Apple Silicon のネイティブ サポートを追加する新しいバージョンをリリースする可能性があるため、注意が必要な脅威です。
Comments