新たなmacOSインフォステーラーの警告
ブロックチェーンセキュリティ企業のSlowMistは、「MacSync Stealer」(v1.1.2)と呼ばれる非常に破壊的な新しいmacOSインフォステーラーについて警告しています。
このアクティブなマルウェアキャンペーンは、特にAppleユーザーをターゲットにしており、暗号通貨ウォレットを盗み、高度に機密性の高いインフラストラクチャの資格情報を流出させることを目的としています。悪意のある行為者は、ユーザーの防御を回避するために欺瞞的なソーシャルエンジニアリング手法を使用しています。
マルウェアの手口
このマルウェアは、正当なmacOSパスワードプロンプトを模倣した偽のAppleScriptシステムダイアログを使用して、ユーザーのログイン資格情報をフィッシングします。犠牲者がこのトリックに引っかかると、マルウェアはバックグラウンドで静かにデータを流出させます。
MacSync Stealerは、データ抽出が完了した直後に偽の「サポートされていません」というエラーメッセージを表示し、疑念を抱かせないようにします。このトリックにより、アプリケーションが単に起動に失敗したように見えます。
ターゲットとされる情報
暗号通貨ユーザー以外にも、このマルウェアはブラウザの資格情報、macOSシステムのキーチェーン、SSH、AWS、Kubernetes(K8s)資格情報を含む重要なインフラストラクチャの鍵をターゲットにしています。
関連する脅威キャンペーン
これは孤立した事件ではありません。Bybitのセキュリティチームは、Claude Codeを検索しているmacOSユーザーをターゲットにしたマルウェアキャンペーンを発見しました。最近、Microsoft Threat Intelligenceは、北朝鮮の国家支援の脅威アクター「Sapphire Sleet」によって組織された高度にターゲットを絞ったmacOSキャンペーンを暴露しました。
Sapphire Sleetは、正当なmacOSソフトウェアアップデートを偽装し、暗号通貨ウォレットを盗むために高度なソーシャルエンジニアリングを使用しています。また、「Infinity Stealer」マルウェアについても言及する必要があります。これは、Windows中心の攻撃手法がmacOS向けに適応されていることを示しています。このマルウェアは「ClickFix」技術を使用して、犠牲者に偽のCAPTCHAページを提示します。
さらに、サイバーセキュリティ企業SOC Primeは、暗号保有者を含む高価値の犠牲者を明示的にターゲットにした商業的に配布されたmacOSインフォステーラー「MioLab」も特定しています。
