2023年初頭に発見され、Macユーザーを狙い脅威を広げている新マルウェア「Atomic macOS Stealer(AMOS)」。このマルウェアの仕組みと、脅威を回避する方法についてApple専門メディア「9to5Mac」が解説しています。
*Category:
ChromeやSafariのマルウェア入り偽アップデートに注意
AMOSは非常に強力なマルウェアで、端末にインストールされると、iCloud Keychainのパスワード、クレジットカード番号、暗号ウォレット、ファイルなどを盗み出すことが可能です。
2023年初めに初期のAMOSの脅威が発見されたのち、セキュリティ会社「Malwarebytes」の研究者は9月、Macユーザーが偽のGoogle検索広告を通じてAMOSをインストールしていることを発見しました。
「Malwarebytes」によれば、このマルウェアの最新版では、偽のSafariとChromeブラウザーのアップデートが、AMOSを被害者のMacに忍び込ませるために使われているとのこと。このアプローチは「ClearFake」と呼ばれるもので、以前はWindows端末に対して見られた攻撃手法でした。
In an interesting new development, AMOS is now being delivered to Mac users via a fake browser update chain tracked as ‘ClearFake’. This may very well be the first time we see one of the main social engineering campaigns, previously reserved for Windows, branch out not only in terms of geolocation but also operating system.
— 引用:Malwarebytes
訳:興味深い新展開として、AMOSは現在、「ClearFake」として追跡されている偽のブラウザアップデートチェーンを通じてMacユーザーに配信されている。これは、以前はWindowsのみに限られていたソーシャル・エンジニアリングの主要なキャンペーンの1つが、地理的な位置だけでなく、オペレーティング・システムの点でも分岐するのを見る初めてのことかもしれない。
この手法は、悪質ハッカーがウェブサイトを経由し、偽のSafariやChromeのアップデートを配信するというものです。
以下の画像はSafariの偽アップデート画面です。SafariとiCloudのアイコンが非常に古いため違和感がありますが、全体的な文章はApple公式のものとよく似ています。
より注意すべきはGoogle Chromeの偽アップデート画面でしょう。アイコンを初めとした全体的なデザイン言語はChromeと同じで、一見するとGoogleからの正式なものにみえます。
「9to5Mac」は偽アップデートへの対策方法として、SafariはMacのシステム設定メニューから、ChromeはGoogleの公式サイトから、またはアプリ内の更新機能を使用してアップデートすることを挙げています。
また、アプリが「macOS GateKeeper」の保護をパスするよう求めてきたら要注意とのこと。この機能はマルウェアなどの不正ソフトをユーザーが誤って実行することを防ぐために重要なものです。
「Malwarebytes」は、自社の無料アプリを利用してMacにインストールされた可能性のあるマルウェアやアドウェアを検出・削除することを推奨しています。同社はChrome、Firefox、Edge用のブラウザガードを個人向けに無料で提供しているとのことです。