macOSトロイの木馬のアップデート：署名済みアプリを通じて拡散、ユーザーデータの暗号化によりステルスリスクが増大

BlockBeats News、12月23日、SlowMistのチーフセキュリティオフィサー23pdsは、macOSプラットフォームで活動中のMacSync Stealerマルウェアが大きく進化しており、すでにユーザー資産が盗まれていると投稿で共有しました。彼が共有した記事によると、初期の「ドラッグ＆ドロップでターミナルに移動」や「ClickFix」を利用した簡単な誘導手法から、コード署名やAppleによる公証済みSwiftアプリケーションの利用へと進化し、ステルス性が大幅に向上しています。

研究者によると、このサンプルはzk-call-messenger-installer-3.9.2-lts.dmgという名前のディスクイメージ形式で拡散されており、インスタントメッセージやユーティリティアプリケーションに偽装してユーザーをダウンロードに誘導しています。従来とは異なり、新バージョンではユーザーによるターミナル操作が一切不要となり、内蔵されたSwiftヘルパーがリモートサーバーからダウンロード・実行され、情報窃取プロセスが行われます。

このマルウェアはAppleによって正常にコード署名および公証されており、開発者チームIDはGNJLS3UYZ4です。関連するハッシュ値は分析時点でAppleによって無効化されていません。これは、デフォルトのmacOSセキュリティメカニズム下でより高い「信頼性」を享受できることを意味し、ユーザーの警戒心を回避しやすくなっています。研究では、DMGファイルのサイズが異常に大きく、LibreOffice関連のPDFなどの誘導ファイルが含まれており、疑念をさらに低減させていることも判明しました。

セキュリティ研究者は、このような情報窃取型トロイの木馬がしばしばブラウザデータ、アカウント認証情報、暗号資産ウォレット情報を標的にしていると指摘しています。マルウェアがAppleの署名および公証メカニズムを悪用するケースが増加する中、macOS環境の暗号資産ユーザーはフィッシングや秘密鍵漏洩リスクの高まりに直面しています。