近年、Apple製デバイスはマルウェア攻撃を受けにくいという認識は、着実に失われつつあります。Macの人気が高まるにつれ、サイバー犯罪者は、より巧妙なマルウェアでMacを狙うようになっています。

MacPawのサイバーセキュリティ部門であるMoonlockは、未発売のビデオゲーム「GTA 6」や「Notion」の海賊版を装った、パスワードを盗むマルウェア（PSW）の新種を発見しました。

macOSマルウェアの台頭

• 2022年には、macOSを標的とするマルウェアが新たに21種類発見され、前年比 50% 増加しました。
• 脅威アクターはAppleのマシンを標的にしないという誤解は、もはや通用しません。
• macOSに対するマルウェア攻撃は、その数が増加しているだけでなく、より巧妙化しています。

マルウェアの動作方法

1. 偽装と欺瞞

• マルウェアは、GTA6のコピーやNotionの海賊版のように偽装し、ユーザーの信頼を悪用します。
• マルウェアはユーザーを騙し、macOS Gatekeeper（署名されていないアプリケーションのダウンロードを防止する組み込みのセキュリティ機能）を回避させます。

2. ペイロードの実行

• DMGファイルを開くと、AppleAppという名前のMach-Oファイルが実行されます。
• AppleAppは、ロシアのIPアドレスを発信元とするURLへのGETリクエストを開始します。
• 接続に成功すると、部分的に難読化されたAppleScriptとBashのペイロードがダウンロードされ、ファイルシステムをバイパスしてアプリケーションメモリから直接実行されます。

3. クレデンシャルフィッシング

• ローカルのKeychainデータベースにアクセスするため、マルウェアは偽のヘルパーアプリのインストールウィンドウを展開し、ユーザーを騙してシステムパスワードを吐かせます。

4. 機密データを狙う

マルウェアは、システム・ディレクトリから、以下のような機密データを探します：

• 一般的なウェブブラウザ（Chrome、Firefox、Brave、Edge、Opera、OperaGX）のクッキー、フォーム履歴、ログイン認証情報
• FileZilla の最近のサーバーリスト
• macOS Keychain データベース
• 暗号通貨ウォレット

5. データの流出

• 高度なAppleScriptsを使用して、マルウェアはユーザーのホームディレクトリ内に秘密のフォルダを作成し、収集したログイン名、パスワード、鍵を保存します。
• その後、機密データは感染したシステムからサイバー犯罪者が管理する外部サーバーに抽出されます。

macOS 盗難から身を守る

Macユーザを標的とするマルウェアは全体の約6%に過ぎませんが、警戒を怠らず、安全なブラウジング習慣を実践することが極めて重要です：

1. Macの公式App Store以外からアプリケーションをインストールする場合は注意が必要です。
2. サイバー犯罪者がよく使う手口なので、Gatekeeperを回避するための指示には絶対に従わないこと。
3. システムのプロンプトや機密情報の要求に注意してください。
4. デバイスやアプリケーションを常に最新の状態に保ち、最新の脅威や脆弱性から保護しましょう。

(Via 9to5Mac.)