Atomic Stealerの亜種
Atomic Stealerは、インフォスティーラー型マルウェアです。
これまでいくつものAtomic Stealerが確認されていますが、また新たなAtomic Stealerが観測されています。
今回のAtomic Stealerは、どんなものなのでしょうか。
- ターゲットはmacOS
配布形式はDMGファイルです。
DMGファイルはWindowsの「.iso」などと同様のファイルの拡張子の一種で、macOSで利用されることを想定したイメージファイルです。 - サポートされる環境
macOSの動作環境のアーキテクチャは複数あります。
IntelとARMがありますが、このマルウェアはその両方をターゲットとしています。
DMGファイルの特性も利用し、アーキテクチャの異なる環境に対応できるように作られています。 - 回避手法
通常のmacOSでは、デジタル署名されていないアプリケーションは実行することができないようにする仕組みを搭載しています。
このマルウェアは、ここに対策してきています。
DMGを開いた際に、DMGのなかにあるアプリケーションを右クリックして実行するように指示してきます。
このように操作された場合、macOSの用意したデジタル署名のないアプリケーションを実行させないという安全機構は作用できません。 - マルウェアの設置
こうして実行されたアプリケーションは、ドロッパーとして機能します。
ハードディスク上にインフォスティーラー型マルウェアを配置します。 - 情報の収集
情報収集は、Pythonのスクリプトで実行されます。
暗号ウォレットに関する情報、パスワードやCookieなどのWebブラウザにある情報、デスクトップなどにある特定の拡張子のファイルなどが集められます。
ローカルユーザーアカウントのパスワードも取得されますが、これは環境から読み取る形式ではありません。
他のAtomic Stealerと同じく、システムアップデートを装って利用者にローカルユーザのパスワードを入力させるのです。 - 情報の持ち出し
持ち出しはC2へのPOSTで実行されます。
持ち出すデータは、メモリ上のZIPファイルに組み入れられて送信されます。
送信先となるC2のアドレスはスクリプトの先頭にハードコーディングされていました。
このマルウェアには、サンドボックスやエミュレータでの実行を検出して対応する機構が実装されています。
RustDoorというバックドア型のマルウェアと共通する機構も含まれていました。
システムには多くのセキュリティ機構が用意されていますが、これらの安全機構はあくまでも補助機能ととらえるべきなのかもしれません。
用意された安全機構はマルウェアが拡張されていく中で、次々に回避されてしまいます。
利用者が注意してシステムを利用するということがまず必要だと感じました。
参考記事(外部リンク):When Stealers Converge: New Variant of Atomic Stealer in the
Wild
www.bitdefender.com/blog/labs/when-stealers-converge-new-variant-of-atomic-stealer-in-the-wild/
