偽のmacOSトラブルシューティング投稿が暗号通貨ウォレット窃盗マルウェアをインストールする

攻撃者たちは、Medium、Craft、Squarespaceなどのサイトに、macOSのトラブルシューティングに関する偽のガイドを投稿している。 その目的は、ユーザーにターミナルコマンドを実行させ、iCloudデータ、保存されたパスワード、暗号通貨ウォレットを標的としたマルウェアをインストールさせることだ。

マイクロソフトのDefenderセキュリティ研究チームが調査結果を公表した。この攻撃は2025年後半から続いており、ディスク容量の解放やシステムエラーの修正といった一般的な問題の解決策を探しているMacユーザーを標的にしている。.

正規の解決策を提示する代わりに、これらのページはユーザーにコマンドをコピーしてターミナルに貼り付けるよう指示します。そのコマンドを実行すると、マルウェアがダウンロードされて実行されます。.

誤解を招くブログ記事は、読者に対し、悪意のあるコマンドをコピーしてターミナルに貼り付けるよう指示している。このコマンドを実行すると、マルウェアがダウンロードされ、被害者のコンピューター上で実行される。.

この手法はClickFixと呼ばれています。これは、ペイロードを被害者に送り込む責任を転嫁するソーシャルエンジニアリングの一種です。ユーザーがターミナルで直接コマンドを実行するため、macOS Gatekeeperはペイロードを検査しません。.

Gatekeeperは通常、Finder経由で開かれたアプリバンドルのコード署名と公証をチェックしますが、この方法はそれを完全に回避します。.

攻撃者は同じ目的で3つの作戦を実行した。

マイクロソフトは3つのキャンペーンインストーラーを発見した。

1. ローダー。.
2. 脚本。.
3. 助手。.

これら3つの攻撃手法はすべて、機密データを収集し、永続的なアクセスを確立し、盗んだ情報を攻撃者のサーバーに送信する。.

マルウェアファミリーには、AMOS、Macsync、SHub Stealerが含まれます。これら3つのマルウェアのいずれかがインストールされると、iCloudとTelegramのアカウントデータが標的になります。次に、2MB以下のプライベートな文書や写真を探し出します。さらに、Exodus、Ledger、Trezorから暗号通貨ウォレットの秘密鍵をtrac、ChromeとFirefoxに保存されているユーザー名とパスワードを盗み出します。.

インストール後、 マルウェアは 偽のダイアログを表示し、「ヘルパーツール」をインストールするためのシステムパスワードを要求します。ユーザーがパスワードを入力すると、攻撃者はファイルとシステム設定への完全なアクセス権を取得します。

研究者らは、攻撃者が正規の暗号通貨ウォレットアプリを削除し、取引を監視して資金を盗むように設計されたトロイの木馬入りのバージョンに置き換えたケースを発見した。.

Trezor Suite、Ledger Wallet、Exodusなどが、今回の攻撃で標的となった主なアプリの一部だった。.

このローダー攻撃にはキルスイッチも含まれている。ロシア語のキーボード配列を検出すると、マルウェアの実行が停止する。.

セキュリティ研究者らは、攻撃者がcurl、osascript、その他のmacOSネイティブユーティリティを使用して、ペイロードをメモリ上で直接実行していることを確認した。これはファイルを使用しない手法であり、標準的なウイルス対策ツールによる検出を困難にする。.

攻撃者が暗号通貨開発者を標的にする

ANY[.]RUNのセキュリティ研究者らは、ラザルス・グループによる「Mach-O Man」と呼ばれる作戦を発見した。ハッカーたちは、偽の会議招待状を通じてClickFixと同じ手法を用いていた。彼らは、 フィンテック企業や暗号通貨関連企業 macOSが広く使われている

Cryptopolitan 記事を掲載した PromptMinkキャンペーンについて

北朝鮮のグループ「Famous Chollima」は、AIによる改変を通じて、悪意のあるnpmパッケージを仮想通貨取引プロジェクトに仕込んだ。このマルウェアは、2層構造のパッケージ手法を用いて、ウォレットデータとシステム秘密情報にアクセスした。.

どちらの攻撃も、暗号資産ウォレットのデータがいかに価値の高いものであるかを示している。攻撃者は、偽のブログ記事からAIを活用したサプライチェーンへの侵入まで、そのデータを入手するために攻撃手法を巧妙に変化させている。.