Macユーザーは偽の「Arcブラウザ」と会議ソフト「Meethub」に注意

画像提供：マイナビニュース

Jamfは3月29日(米国時間)、「Jamf Threat Labs dissects infostealer malware」において、情報窃取マルウェアを配布する2つのサイバー攻撃のキャンペーンについて注意を呼びかけた。いずれのキャンペーンもMacOSユーザーを標的としており、偽の広告やメッセージを介してマルウェアが配布されている。

○Macユーザーにマルウェアを配布する2つのキャンペーンの概要

Jamfにより確認された新しい2つのマルウェア配布キャンペーンの概要は次のとおり。
○キャンペーン1. スポンサー広告

Google検索から「Arc Browser」を検索すると、スポンサー広告として偽のArc Web Browserの広告が表示される。

この広告のリンクにアクセスすると、正規サイトに似た偽のWebサイト「aricl[.]net」に誘導される。この偽サイトは広告からアクセスした場合のみ表示され、直接アクセスを試みると拒否されるという。被害者はこの偽サイトのダウンロードボタンから情報窃取マルウェア「Atomic Stealer」をダウンロードすることになる。

ダウンロードしたファイルを実行すると、右クリックメニューの「開く」から実行するように求められる。これはMacOSのセキュリティ機能「Gatekeeper」をバイパスするための指示とされる。指示に従い実行すると、処理を継続するために必要として管理者パスワードの入力を求められる。正しいパスワードを入力するとキーチェーンからパスワードが窃取され、その他のさまざまな情報と共に攻撃者のサーバに送信される。

○キャンペーン2. メッセージ

Jamfによると、スポンサー広告以外にメッセージを悪用したマルウェアの配布が確認されている。攻撃者は「会議の予定」「ポッドキャストの録音」「新しい仕事」などの話し合いと称し、メッセージを通じて悪意のある会議ソフトウェア「Meethub」をインストールさせようとする。

Meethubは「meethub[.]gg」から現在も配布されており、ダウンロードを開始すると(Gatekeeperをバイパスするために)右クリックメニューから実行するように求める画面を表示する。

ダウンロードしたファイルを指示に従い実行すると、こちらも管理者パスワードの入力を求めてくるという。正しいパスワードを入力すると、キーチェーンからパスワードが窃取され、ブラウザーの認証情報やその他の情報と共に攻撃者のサーバに送信される。