新しい Infostealing MetaStealer マルウェアが Mac をターゲット

MetaStealer と呼ばれる新しい情報窃盗マルウェアは、焦点を Apple の macOS に移し、特にこのオペレーティング システムをターゲットとする情報窃盗マルウェア ファミリのリストが増えています。 MetaStealer が登場する前は、Stealer、Pureland、Atomic Stealer、Realst が登場し、すべて macOS に集中していました。

SentinelOne のセキュリティ研究者 Phil Stokes による最近の分析によると、脅威アクターは積極的に macOS ビジネスに攻撃を向けています。彼らは、偽のクライアントを装い、被害者を操作して悪意のあるアクションを実行させることでこれを行います。

MetaStealer が企業を狙う

これらの攻撃では、MetaStealer がディスク イメージ フォーマット (DMG) にパッケージ化された不正なアプリケーション バンドルの形で拡散されます。脅威アクターは、潜在的な設計クライアントになりすまして、DMG ファイルを含むパスワードで保護された ZIP アーカイブを共有することでターゲットに関与します。

場合によっては、マルウェアが Adobe ファイルまたは Adobe Photoshop インストーラーを装うこともあります。収集された証拠によると、MetaStealer アーティファクトは 2023 年 3 月に初めて実際に出現し、最新のサンプルは 2023 年 8 月 27 日に VirusTotal にアップロードされました。

ストークス氏は、このようにビジネス ユーザーをターゲットにするのは、macOS マルウェアとしてはやや異例であると指摘しました。通常、macOS マルウェアは、人気のあるビジネス ソフトウェアや生産性向上ソフトウェアのクラック バージョンの形で、トレント サイトや疑わしいサードパーティ ソフトウェア ディストリビュータを通じて配布されます。

ペイロードの主なコンポーネントは、Go プログラミング言語に基づいた難読化された実行可能ファイルです。この実行可能ファイルには、iCloud キーチェーン、保存されたパスワード、侵害されたホストにあるファイルからデータを抽出する機能が装備されています。マルウェアの一部のバージョンには、Telegram サービスや Meta サービスをターゲットにする可能性のある機能が備わっているようです。

SentinelOne は、一部の MetaStealer 亜種が、Atomic Stealer によって最近使用された TradingView になりすます戦術を採用していることを観察しました。これにより、2 つの可能性が生じます。両方のマルウェア ファミリの背後に同じマルウェア作成者がおり、配信方法の違いにより異なる攻撃者がそれらを採用しているか、または別個の攻撃者のグループがこれらの攻撃を担当しているかのいずれかです。

2023 年に macOS ユーザーをターゲットとしたさらに別の情報窃取マルウェアが出現したことは、脅威アクターの間で Mac ユーザーをターゲットにしてデータを狙うことがますます流行していることを浮き彫りにしています。 MetaStealer が他の最近のマルウェアと異なるのは、ビジネス ユーザーに明確に焦点を当てており、これらのターゲットから貴重なキーチェーンやその他の情報を抽出するという目的を持っていることです。このような貴重なデータは、さらなるサイバー犯罪活動や大規模なビジネス ネットワークへのアクセスに悪用される可能性があります。