出版
Atomic Stealer マルウェアは、Google Chrome や Apple Safari を装った ClearFake ブラウザ更新を通じて自らを宣伝します。
マルウェア対策ソフトウェアプロバイダーのMalwarebytesは、Appleユーザーを標的とするマルウェア「Atomic Stealer(別名AMOS)」の新たな亜種を発見したと発表しました。偽のブラウザアップデート配信メカニズム「ClearFake」を通じて拡散されるこの亜種は、AppleのSafariブラウザとGoogleのChromeブラウザのアップデートを装い、ユーザーのデータを取得し、攻撃者のコマンド&コントロールサーバーに送信する機能を備えています。
マルウェアバイツの脅威インテリジェンス担当シニアディレクターのジェローム・セグラ氏は、この攻撃に関する投稿の中で、ClearFakeは積極的に更新されており、特にスマートコンタクトを利用することから「最も蔓延し、最も危険なソーシャルエンジニアリングのスキームの一つ」となっていると指摘した。
「偽のブラウザアップデートはWindowsユーザーにとって長年の共通のテーマだったが、これまで脅威アクターは一貫してmacOSにまで拡大していなかった」とセグラ氏は指摘した。
ジャンプ先:
- ClearFakeがSafariやChromeのアップデートを装う方法
- このマルウェアの脅威から身を守る方法
- Atomic Stealerマルウェアのタイムライン
ClearFakeがSafariやChromeのアップデートを装う方法
ClearFakeは、Safari (図A)とChrome (図B)のアップデートを提供すると装った悪意のあるウェブサイトの集合体です。潜在的な被害者は、正規のブラウザアップデートを装ったウェブサイトを目にすることになります。
図A
図B
その後、ClearFake詐欺はAtomic Stealerを配信します。偽のアップデートをクリックした被害者は、パスワードを盗んだりファイルを抽出したりできる.dmgファイルをダウンロードします。
参照:カスペルスキーによると、昨年から一部の脅威アクターがAppleデバイスを監視に利用しており、この傾向は今後も続く可能性があるとのことだ。(TechRepublic)
Malwarebytes は、次の悪意のあるドメインがこの脅威に関連していることを発見しました。
- Longlakeweb [ドット] com
- Chalomannoakhali [dot] com
- ジャミンザイダード [ドット] cm
- Royaltrustrbc [ドット] com
AMOS スティーラーは、次の指標を使用して識別できます。
- 4cb531bd83a1ebf4061c98f799cdc2922059aff1a49939d427054a556e89f464
- be634e786d5d01b91f46efd63e8d71f79b423bfb2d23459e5060a9532b4dcc7b
このマルウェアの脅威から身を守る方法
セキュリティ管理者または IT プロフェッショナルは、ClearFake および Atomic Stealer から従業員を保護するために、次の点に留意する必要があります。
- 組織の Web 保護ツールを最新の状態に保ってください。
- 信頼できないサイトからアプリケーションをダウンロードしないよう従業員に注意喚起してください。Macユーザーは、Mac App Storeまたは会社が承認した場所からのみアプリケーションをダウンロードする必要があります。
- 予想されるブラウザの更新やその他のアプリケーションの更新について明確に伝えます。
Atomic Stealerマルウェアのタイムライン
Atomic Stealerは、2023年4月に脅威アクターによるマルウェア配信手段として初めて宣伝されました。Atomic Stealerは以前からMacユーザーを標的としていましたが、ClearFakeはこれまでWindowsマシンのみを対象としていました。これは注目すべき点です。ClearFakeは、Windows向けに作成された最初のWindowsソーシャルキャンペーンの一つであり、その後、異なる地理的位置だけでなく異なるオペレーティングシステムにも拡大しました。セキュリティ研究者のRandy McEoin氏は、2023年8月にClearFakeを発見しました。
2023年9月、Malwarebytesは、Atomic StealerがGoogle検索で宣伝される偽のソフトウェアアップデートを通じてMacユーザーを標的にしていることを発見しました。Atomic Stealerは、ビットコインウォレットで使用されるパスワードやAppleキーチェーンコードの取得に特に適していました。Atomic Stealerはクレジットカード情報も盗む可能性があります。
こちらもご覧ください
- 新たなSecuriDropperマルウェアがAndroid 13の制限を回避し、正規アプリを装う
- 新たなDarkGateマルウェア攻撃がMicrosoft Teams経由で企業を攻撃
- https://www.techrepublic.com/article/zenrat-malware-targets-windows-users/
- Apple:さらに必読の記事
ミーガン・クラウス
メーガン・クラウスは、B2Bニュースおよび特集記事の執筆で10年の経験を有し、Manufacturing.netのライター、そして後に編集者として活躍しました。彼女のニュース記事や特集記事は、Military & Aerospace Electronics、Fierce Wireless、TechRepublic、eWeekに掲載されています。また、Security Intelligenceではサイバーセキュリティに関するニュースや特集記事の編集も担当しました。フェアリー・ディキンソン大学で英文学の学位を取得し、クリエイティブライティングを副専攻しました。
