新たなAMOS情報窃取キャンペーンが、Google検索広告を悪用してユーザーをGrokやChatGPTの会話に誘い込み、”役に立つ “指示を提供しているように見せかけながら、最終的にはmacOSにAMOS情報窃取マルウェアをインストールさせるというものだ。
このキャンペーンは、サイバーセキュリティ企業Kasperskyの研究者によって昨日初めて発見され、Huntressマネージド・セキュリティ・プラットフォームは本日未明、より詳細なレポートを発表した。
ClickFix攻撃は、被害者がmacOS関連の用語、例えばメンテナンスに関する質問、問題解決、あるいはAtlas(OpenAIのmacOS向けAI搭載ウェブブラウザ)を検索するところから始まる。
Googleの広告は、攻撃の準備のために公開されていたChatGPTとGrokの会話に直接リンクしている。このチャットは正規のLLMプラットフォーム上でホストされており、マルウェアをインストールするために使用される悪意のある指示が含まれている。
ソースはこちら:ハントレス
“我々の調査中、Huntressチームは同じ質問の複数のバリエーション、”iMacのデータをクリアする方法”、”iMacのシステムデータをクリアする”、”Macのストレージを解放する “にわたって、これらのポイズニングされた結果を再現しました。”これは孤立した結果ではなく、一般的なトラブルシューティングのクエリをターゲットにした意図的で広範なポイズニングキャンペーンであることが確認されました “とHuntressの研究者は説明しています。
ユーザーがこのトリックに引っかかり、macOSターミナルでAIチャットからのコマンドを実行すると、base64エンコードされたURLがデコードされ、偽のパスワードプロンプトダイアログをロードするbashスクリプト(アップデート)になる。
ソースはこちら:ハントレス
パスワードが提供されると、スクリプトはそれを検証、保存し、AMOS infostealerのダウンロードやルートレベルの特権を持つマルウェアの実行など、特権コマンドの実行に使用します。
AMOSは、2023年4月に初めて文書化されました。このマルウェアは、macOSシステムのみを標的とし、月額1,000ドルでインフォステーラーをレンタルするマルウェア・アズ・ア・サービス(MaaS)です。
今年初め、AMOSはバックドアモジュールを追加し、オペレーターが感染したホスト上でコマンドを実行し、キーストロークを記録し、追加のペイロードをドロップできるようにした。
AMOSは、隠しファイル(.helper)として/Users/$USER/にドロップされる。起動すると、アプリケーションフォルダをスキャンし、Ledger WalletとTrezor Suiteを探します。見つかった場合、「セキュリティのため」という理由で被害者にシードフレーズの入力を促すトロイの木馬化バージョンで上書きします。
Source:ハントレス
AMOSはまた、Electrum、Exodus、MetaMask、Ledger Live、Coinbase Walletなどの暗号通貨ウォレット、Cookie、保存されたパスワード、自動入力データ、セッショントークンなどのブラウザデータ、アプリのパスワードやWi-Fi認証情報などのmacOSキーチェーンデータ、ファイルシステム上のファイルも標的にしている。
持続性は、ウォッチドッグ・ループとして動作する隠しAppleScriptを実行するLaunchDaemon(com.finder.helper.plist)を介して達成され、終了すると1秒以内にマルウェアを再起動します。
これらの最新のClickFix攻撃は、OpenAIやXのような合法的で人気のあるプラットフォームを悪用する新しい方法を試している脅威行為者のまた別の例です。
ユーザーは用心して、オンラインで見つけたコマンドを実行しないようにする必要がある。
カスペルスキーは、これらの操作されたLLMの会話に到達した後でも、提供された命令が実行しても安全かどうかをChatGPTに尋ねる簡単なフォローアップの質問で、そうでないことが明らかになったと指摘しています。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
Bitpanda、KnowBe4、PathAIのようなIAMサイロを破壊する
壊れたIAMはITだけの問題ではありません – その影響はビジネス全体に波及します。
この実用的なガイドでは、従来の IAM の慣行が現代の要求に追いつけない理由、「優れた」 IAM とはどのようなものかの例、拡張可能な戦略を構築するための簡単なチェックリストについて説明します。
Comments