MacStealer という新たな macOS マルウェア:iCloud Keychain からパスワードを窃取

New MacStealer macOS malware steals passwords from iCloud Keychain

2023/03/27 BleepingComputer — Mac ユーザーを標的とする、MacStealer とう名の新たな情報スティーラー・マルウェアが、iCloud KeyChain や Web ブラウザに保存されている認証情報や暗号通貨ウォレットなどの、機密ファイルなどを窃取しているようだ。この MacStealer は、Malware-as-a-Service (MaaS) として配布されており、開発者はプレメイドのビルドを $100 で販売し、購入者はキャンペーンでマルウェアを拡散している。Uptycs 脅威研究チームが発見した MacStealer は、macOS Catalina 10.15 〜 Ventura 13.2 の環境で動作するという。

Mac ユーザーが狙われている

2023年3月の初めからダークウェブのハッキング・フォーラムで、MacStealer の開発者が宣伝を開始したことで、Uptycs のアナリストたちに発見されたという。この開発者の主張によると、MacStealer はベータ版の段階にあり、パネルやビルダーは提供されていないようだ。ただし、macOS の Catalina/Big Sur/Monterey/Ventura などを感染させる、ビルド済み DMG ペイロードは販売されている。

この脅威アクターは、ビルダーとパネルがないことを理由に、マルウェアの価格を $100 という低価格に抑えていると言うが、すぐに高度な機能を実装することを確約している。

Post promoting MacStealer to cybercriminals
サイバー犯罪者に MacStealer を宣伝する投稿 (Uptycs)

このマルウェアの開発者は、MacStealer は侵害したシステムから、以下のようなデータを盗むことができると主張している:

  • Firefox/Chrome/Brave などの、アカウント・パスワード/クッキー/クレジットカード情報
  • TXT/DOC/DOCX/PDF/XLS/XLSX/PPT/PPTX/JPG/PNG/CSV/BMP/MP3/ZIP/RAR/PY/DB ファイル
  • Keychain データベース (login.keychain-db) の base64 エンコード抽出
  • 収集されたシステム情報
  • 収集された Keychain パスワード情報
  • Coinomi/Exodus/MetaMask/Phantom/Tron/Martian Wallet/Trust wallet/Keplr Wallet/Binance などの暗号通貨ウォレット

Keychain データベースは、ユーザーのパスワード/シークレット・キー/証明書などを保持し、ログイン・パスワードで暗号化する、macOS の安全なストレージ・システムである。この機能により、Web ページやアプリに、ログイン認証情報が自動的に入力される。

マルウェアの機能

この脅威アクターは、署名のない DMG ファイルとして MacStealer を配布しているが、このファイルは被害者騙して macOS 上で実行するよう偽装されている。具体的に言うと、偽のパスワード・プロンプトを表示し、侵害したマシンからパスワードを収集するためのコマンドを、このマルウェアが実行するよう、被害者を促していく。

MacStealer attack chain
MacStealer 攻撃チェーン (Uptycs)

その後に、このマルウェアは前述の全データを収集し、ZIPファイルに保存し、リモート C2 サーバに送信することで、脅威アクターによる収集を可能にしている。

それと同時に MacStealer は、いくつかの基本情報を事前に設定された、Telegram チャネルとの通信を開始する。それにより、新しいデータを盗み出したときに、オペレーターへの通知が行われ、ZIP ファイルの迅速なダウンロードが可能となる。

Stolen data summary on Telegram
Telegram 上の盗難データ概要 (Uptycs)

大半の MaaS オペレーションは Windows ユーザーをターゲットにしているが、このような脅威は macOS ユーザーにとっても無縁ではなくなってきた。ユーザーは警戒を怠らずに、信頼できない Web サイトからのファイル・ダウンロードを避ける必要がある。

先月にも、セキュリティ研究者である iamdeadlyz が、ブロックチェーン・ゲーム The Sandbox のプレイヤーをターゲットにした、フィッシング・キャンペーンで配布される新たな Mac 情報スティーラー・マルウェアを発見している。

その情報スティーラーは、ブラウザや暗号通貨ウォレット (Exodus/Phantom/Atomic/Electrum/MetaMask など) に保存されている認証情報も標的にしていた。

暗号通貨ウォレットは、脅威アクターにとって格好の標的である。今後も、暗号通貨ウォレットを盗み取るために、マルウェア開発者 がmacOS を標的にしていくと予想される。

いま Mac を使って、この文を書いていますが、iCloud は使っていないので、iCloud KeyChain について調べたこともありませんでした。どのような OS のユーザーであっても、ファイルのダウンロード先については、慎重に選ぶ必要があるのは、言うまでもありません。最近の流行りである DLL Sideloading という攻撃手法は、アプリ本体の実行ファイルは正規のものを用い、悪意の DLL を一緒にダウンロードさせることで、機密データの不正取得などを行いながら、AV ソリューションによる検出を回避するそうです。お気をつけください。

%d bloggers like this: