新しいAtomic macOS Stealer

Atomic macOS Stealerは、2023年5月くらいから話題になっているマルウェアです。
AMOSとも表記されます。
Telegramでサブスクで販売されていて、月額は1000ドルです。
このAMOSに新しいものがあることが観測されています。

• 入口
  入口はGoogle広告です。
  検索した際に検索結果の候補の最初のほうに表れます。
  このマルウェアのキャンペーンはターゲットはWindowsとmacOSとLinuxになっていて、WindowsやLinuxのリンクをクリックすると別のマルウェアに感染します。
  macOS用のリンクをクリックするとAMOSへの道が開始されます。

   

• ダウンロードしたファイルの実行
  よくできたフィッシングサイトで配布されたアプリケーションのファイルを被害者はダウンロードしています。
  ダウンロードしたくらいですから疑っていないことになります。
  疑ってないわけですから、ダウンロードしたファイルを実行します。

   

• GateKeeperを回避
  被害者を守るはずの機能の一つにGateKeeper機能があります。
  信頼されたソフトウェアのみがユーザのMac上で動作することを保証するように設計された機構です。
  簡単に言うと、登録された証明書で署名されたアプリであるかどうかを確認する機構になっていて、署名がないとアプリを実行できないようにしてくれる機構です。
  今回のAMOSは署名されています。
  このため、GateKeeperによるユーザの保護は期待できません。

   

• マルウェアの最初の仕事
  このようにしてマルウェアは起動されます。
  起動されるとマルウェアはユーザにダイアログで被害者のmacOSのパスワードの入力を促します。
  ダイアログにはキャンセルボタンもありますので、パスワードの入力をしないことも選択できるように見えますが、キャンセルしてもまたパスワードの入力を促すダイアログが表示されます。
  ユーザの選択肢はたぶん2つしかありません。
  そのアプリをOSの機能を使って強制的に終了させるか、パスワードを入力するか、です。
  パスワードを入力してしまう人も一定数いることでしょう。

   

• 収集開始
  マルウェアはユーザのパスワードを入手完了しました。
  あとは残りの仕事を実行するのみです。
  各種情報を集め、C2に持ち出します。
  収集される情報は次のようなものです。
  iCloudキーチェーンパスワード、各種システム情報、デスクトップおよびドキュメントフォルダのファイル、macOSパスワード、ブラウザに登録されたパスワードやCookieや仮想通貨ウォレット情報やクレジットカード情報、などです。

この脅威についても、入手元は確かなもののみにする、生体認証も視野に入れて多要素認証を使用する、こういったいつもの対策が効きそうです。

利用者の多さからかWindows向けの脅威に関する話題が多いように思いますが、だからといってmacOSやLinuxなどのWindows以外の環境が安全ということではないのだという感じがします。

参考記事（外部リンク）：Mac users targeted in new malvertising campaign delivering
Atomic Stealer
www.malwarebytes.com/blog/threat-intelligence/2023/09/atomic-macos-stealer-delivered-via-malvertising