Proofpointの調査によると、偽のブラウザアップデート通知を通じて拡散し、攻撃者が機密データを窃取できる新たなmacOSマルウェア「FrigidStealer」が発見されました。正規サイトに埋め込まれたこの高度な攻撃は、ユーザーを騙してmacOSのセキュリティ対策を回避させます。インストールされると、このマルウェアはブラウザのCookie、保存されたパスワード、暗号通貨関連ファイル、Apple Notesを抽出し、個人情報と企業データの両方を漏洩させる可能性があります。
新たに特定された 2 人の脅威アクターが、これらの Web インジェクション キャンペーンの一部を操作しています。
- TA2726 は、他の脅威アクターに対するトラフィック配信サービスとして機能する可能性があります。
- TA2727は、FrigidStealerやWindowsおよびAndroid向けのマルウェアを配布するグループです。彼らは偽の更新通知を利用してマルウェアを有効化する可能性があり、正規のウェブサイトを利用して偽の更新通知を送信することから識別可能です。
どちらの脅威アクターもトラフィックを販売し、マルウェアを配布します。
偽のアップデートがMacユーザーを騙してセキュリティを回避させる
アップデート詐欺には、攻撃者が macOS のセキュリティ対策を回避できるように設計された欺瞞的な手順が含まれています。
2025年1月末、Proofpointは、TA2727が偽の更新通知を利用して、米国外のmacOSデバイスに情報窃取型マルウェアを仕込んでいることを発見しました。このキャンペーンでは、本来安全なウェブサイトに偽の「更新」ボタンを埋め込み、定期的なブラウザ更新が必要であるかのように見せかけます。これらの偽の更新は、SafariまたはChromeを介して配信されます。
ユーザーが感染したアップデートアラートをクリックすると、DMGファイルが自動的にダウンロードされます。マルウェアは被害者のブラウザを検知し、ダウンロードが正規のものであるかのように見せかける、カスタマイズされた公式に見える指示とアイコンを表示します。
指示は、信頼できないアプリケーションのインストールについて通常警告を表示するmacOS Gatekeeperを回避するプロセスをユーザーに案内します。実行されると、Mach-O実行ファイルがFrigidStealerをインストールします。
ユーザーがこのプロセス中にパスワードを入力すると、攻撃者は「ブラウザのクッキー、被害者のデスクトップやドキュメントフォルダにあるパスワード関連または暗号通貨に関連する拡張子のファイル、およびユーザーが作成したApple Notes」にアクセスできるとProofPointは述べている。
参照: このチェックリストには、セキュリティ上重要なタスクを実行する従業員を審査するために雇用主が必要とするすべての情報が含まれています。
FrigidStealerのようなWebインジェクト攻撃から身を守る方法
攻撃者は正規のウェブサイトを通じてこのマルウェアを拡散する可能性があるため、セキュリティチームは脅威の検出と軽減に苦労する可能性があります。しかし、Proofpointは防御を強化するために、以下のベストプラクティスを推奨しています。
- Proofpoint の Emerging Threats ルールセットなどのエンドポイント保護およびネットワーク検出ツールを実装します。
- ユーザーに攻撃の仕組みを識別し、不審なアクティビティをセキュリティチームに報告するためのトレーニングを実施します。これらの詐欺に関する知識を、既存のセキュリティ意識向上トレーニングに統合します。
- Windowsユーザーがスクリプトファイルをダウンロードしたり、テキストファイル以外で開いたりすることを制限します。これはグループポリシー設定で設定できます。
macOSの脅威が拡大
2025年1月、SentinelOneは企業におけるmacOSデバイスを標的とした攻撃の増加を確認しました。さらに、複数のOSで動作するマルウェアを作成するために、クロスプラットフォーム開発フレームワークを採用する脅威アクターが増加しています。
「これらの傾向は、攻撃者が企業環境では見落とされがちなmacOS防御の隙間を悪用しながら、意図的に活動を拡大しようとしていることを示唆している」と、SentinelOneの脅威研究者フィル・ストークス氏は書いている。
