Atomic Stealer malware strikes macOS via fake browser updates
2023/11/25 BleepingComputer — ClearFake という名の偽ブラウザ・アップデート・キャンペーンが macOS にも拡大し、Atomic Stealer (AMOS) マルウェアによる、Apple コンピュータの標的化が進んでいるという。2023年7月に始まった、Windows ユーザーを標的とする ClearFake キャンペーンは、JavaScript インジェクションを介して侵害したサイト上に、偽の Chrome アップデート・プロンプトを表示するものだ。
2023年10月に Guardio Labs は、Binance Smart Chain コントラクトを活用し、感染チェーンをサポートする悪意のあるスクリプトを、ブロックチェーンに隠すというオペレーションの展開を発見した。
この EtherHiding という手法を用いる運営者が、Windows を標的とて配布したペイロードには、RedLine/Amadey/Lumma などの情報窃取マルウェアが含まれている。
macOS への拡大
2023年11月17日に脅威アナリストの Ankit Anubhav は、ClearFake により侵害されたWeb サイトを訪問する macOS ユーザーに対して、DMG ペイロードをプッシュし始めたことを報告した。
この動きは、今週の初めの Malwarebytes の報告でも確認されており、標準的な Chrome のオーバーレイに加えて Safari アップデートが、ルアーとして用いられているという。
ソース Malwarebytes
一連の攻撃で投下されたペイロードは、Telegram チャンネル経由で $1,000/month で販売されている、情報窃取マルウェアの Atomic である。
ソース Malwarebytes
2023年4月に Trellix と Cyble により発見された、Atomic が窃取する情報を列挙すると、ブラウザが保持するパスワード/クッキー/クレジットカードに加えて、ローカルファイル/キーチェーンパスワード/50種類以上の暗号通貨エクステンション・データなどになる。
このキーチェーン・パスワードは、macOS に内蔵されたパスワード・マネージャーであり、WiFi パスワード/Web サイトログイン/クレジットカードデータ/暗号化された情報などを保持しているため、それが侵害されると、被害者に甚大な被害が生じることになる。
Malwarebyte がペイロードの文字列を調査したところ、パスワードなどの機密データを抽出し、文書ファイル/画像/暗号ウォレットファイル/鍵を標的にする、一連のコマンドの存在が判明したという。
ソース Malwarebytes
この、Mac をターゲットにする ClearFake キャンペーンが、Apple ユーザーに喚起する注意点は、Web サイトを訪問する際にブラウザをアップデートするように促す、プロンプトに注意することだ。Atomic の発見と報告から、すでに数ヶ月が経過しているが、VirusTotal に登録されている AV エンジンの約 50% が、このペイロードの検出に失敗している。
さらに言うなら、すべての Safari ブラウザのアップデートは、macOS のソフトウェア・アップデートを通じて行われる。また、他のブラウザの場合はブラウザ自体の中でアップデートが配布される。そのため、Web サイト上でブラウザのアップデートを促されたとしても、無視すべきである。
Web ブラウザのフェイク・アップデートは、Windows 環境で指摘されてきた脅威ですが、それが Mac にも及んできたようです。文中でも指摘されているように、通常のブラウザ・アップデート手順から外れるものに対して、ご注意ください。ClearFake に関しては、2023/10/17 に「Chrome/Edge/Firefox の偽アップデート:狡猾な手口で誘う ClearFake マルウェア」という記事がポストされていました。
IoT OT Security News 
You must be logged in to post a comment.