macos

慢雾首席情報セキュリティ責任者 23pds が発信した情報によると、macOS プラットフォームで活躍する MacSync Stealer マルウェアが明らかに進化しており、すでにユーザーの資産が盗まれています。彼が転送した記事では、初期の「ドラッグ＆ドロップ」や「ClickFix」などの低いハードルの誘導手法から、コード署名を行い、Apple の公証（notarized）を通過した Swift アプリケーションにアップグレードされ、隠蔽性が大幅に向上したことが述べられています。研究者は、このサンプルが「zk-call-messenger-installer-3.9.2-lts.dmg」という名前のディスクイメージ形式で配布されており、即時通信やツール系アプリに偽装してユーザーにダウンロードを促していることを発見しました。従来とは異なり、新しいバージョンはユーザーに端末操作を要求せず、内蔵された Swift 補助プログラムがリモートサーバーからコード化されたスクリプトを引き出して実行し、情報窃取プロセスを完了します。このマルウェアはコード署名を完了し、Apple の公証を通過しており、開発者チーム ID は GNJLS3UYZ4 です。関連するハッシュは分析時に Apple によって取り消されていません。これは、デフォルトの macOS セキュリティメカニズムの下で「信頼性」が高く、ユーザーの警戒を回避しやすいことを意味します。研究では、この DMG のサイズが異常に大きく、LibreOffice 関連の PDF などの囮ファイルが含まれており、さらなる疑念を減少させるために使用されていることが明らかになりました。セキュリティ研究者は、この種の情報窃取トロイの木馬が主にブラウザデータ、アカウント認証情報、暗号ウォレット情報をターゲットにすることを指摘しています。マルウェアが Apple の署名と公証メカニズムを体系的に悪用し始めるにつれて、暗号資産ユーザーが macOS 環境で直面するフィッシングや秘密鍵漏洩のリスクが高まっています。

据慢雾科技首席信息安全官 23pds 披露，信息窃取恶意软件 MacSync 出现新变种，可成功绕过 macOS Gatekeeper 安全机制，已有用户资产被盗。该恶意软件采用多种技术逃避检测，包括文件膨胀、网络连接验证及执行后自毁脚本等。攻击者可通过此软件窃取受害者的 iCloud 钥匙串、浏览器密码以及加密货币钱包等敏感数据。用户应提高警惕，避免从不明来源下载软件，及时更新操作系统安全补丁，并采取额外措施保护加密资产安全。

ChainCatcher のメッセージ、最近、工業情報化部のネットワークセキュリティ脅威と脆弱性情報共有プラットフォーム（NVDB）が監視したところ、Apple 社の iOS/iPadOS/macOS に越境書き込みの高危険脆弱性が存在し、すでにネットワーク攻撃に利用されています。iOS/iPadOS/macOS はアメリカの Apple 社が開発したオペレーティングシステムであり、その ImageIO フレームワークに越境書き込みの脆弱性が存在し、悪意のある画像ファイルを処理するとメモリの破損を引き起こす可能性があります。

ChainCatcher のメッセージによると、Decrypt の報道で、最近 Check Point が「Banshee」と呼ばれる macOS マルウェアを発見しました。このマルウェアは、ウイルス対策ソフトウェアの検出を回避するために Apple の暗号化アルゴリズムを模倣し、暗号ウォレットやブラウザの認証情報をターゲットに攻撃を行います。しかし、Apple のセキュリティ研究者である Patrick Wardle は、この脅威はメディアによって過大評価されており、実際の危害は限られていると述べています。Banshee は「盗難即サービス」（Stealer-as-a-Service）として運営されていましたが、ソースコードの漏洩により 2024 年 11 月に終了しました。Wardle は、このソフトウェアの暗号化方法は比較的基本的であり、新しい macOS システムはこのような脅威に対してデフォルトで防御できるため、一般ユーザーにはほとんどリスクがないと指摘しています。彼は、特定のマルウェアに注目するよりも、基本的なセキュリティプラクティスに焦点を当てるべきだと強調しています。

ChainCatcher のメッセージによると、フォーブスの報道で、セキュリティ会社 ESET が最新の脅威レポートを発表しました。このレポートは、2024 年 6 月から 11 月までの脅威の動向を調査しています。暗号通貨ウォレットに対するパスワード窃取攻撃の数が増加しており、特に macOS ユーザーに対する攻撃の増加が最も顕著です。レポートによると、「ESET の 2024 年下半期のテレメトリーデータに基づくと、複数のプラットフォーム（特に Windows、macOS、Android）でパスワード窃取ソフトウェアの数が増加していますが、上半期と比較して、macOS 上の暗号通貨ウォレットに対するパスワード窃取ソフトウェアの検出数は 2 倍以上に増加しました。」一方、Windows プラットフォームのパスワード窃取ソフトウェアの数は 56% 増加し、Android プラットフォームの金融脅威（パスワード窃取マルウェアを含む）は 20% 増加しました。ESET の分析結果は、macOS プラットフォームに対するパスワード窃取ソフトウェア（特に暗号通貨ウォレットに関連する資格情報を狙ったもの）の数が 127% 増加したことを示しています。セキュリティ研究者は、「これらの脅威は、その機能が広範囲にわたるからといって単純にパスワード窃取ソフトウェアとして分類されるべきではありませんが、確かに macOS プラットフォームにおけるパスワード窃取活動の顕著な上昇傾向を示しています。」と指摘しています。地域的な観点から見ると、ESET の分析は、macOS に対するビットコインやその他の暗号通貨攻撃の大部分がアメリカを対象としており、次いでイタリア、中国、スペイン、日本が続いていることを示しています。

ChainCatcher のメッセージ、SlowMist の最高情報セキュリティ責任者 23pds が投稿をリマインドしました。最近、著名な暗号通貨盗難トロイの木馬 MacOS Stealer が突然オープンソース化されました。以前は、その攻撃ソースコードが 1 BTC の価格で販売されていましたが、現在のオープンソース化は、より多くの悪意のある攻撃者がこのツールを簡単に入手できることを意味します。これは、攻撃者が「一人一台」の攻撃ライブラリを持つ可能性があるだけでなく、より隠れた複雑な攻撃手法を生み出す可能性があり、暗号通貨資産の安全に対してより大きな挑戦をもたらします。

ChainCatcher のメッセージによると、Forbes の報道で、研究者たちは macOS ユーザーを対象としたマルウェア攻撃が4ヶ月間活発であることを確認しました。この攻撃は、ビデオ会議アプリに偽装したマルウェアを通じて、Keychain 内のパスワードや Google Chrome、Brave、Opera などのブラウザのセッションクッキー、暗号通貨ウォレットの情報を盗みます。Cado Security Labs のタラ・グールドによれば、攻撃者は AI 生成のコンテンツを利用して偽のウェブサイトやソーシャルメディアアカウントを作成し、信頼できる企業に偽装しています。被害者は、Telegram などのプラットフォームを通じて接触し、ブロックチェーンや暗号通貨のビジネスチャンスについて話し合います。ファイルがインストールされた後、ユーザーに macOS のパスワードを入力するように促し、データの窃取をさらに実施します。セキュリティ専門家は、特にビジネス関連の不審なリンクに対して警戒を高めるようユーザーに勧めています。Intego VirusBarrier などの防護ツールを使用することで、このような脅威に効果的に対抗できます。

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、北朝鮮のハッカーが Apple のセキュリティチェックを回避できるマルウェアを開発したようです。Apple に特化した Jamf Threat Labs の研究者は、これらのアプリケーションが実験的であるようだと述べています。これは、彼らがこの技術を使用して Apple の macOS オペレーティングシステムに侵入するのを初めて見たことになりますが、最新のシステムでは動作しません。研究者たちは、Microsoft の VirusTotal オンラインスキャンサービスがこれらのアプリケーションを無害と報告しているが、実際には悪意があることを発見しました。これらのアプリケーションのバリエーションは、Go と Python 言語で書かれており、Google Flutter アプリケーションを使用しています。Flutter は、マルチプラットフォームアプリケーションを作成するためのオープンソース開発ツールキットです。6 つの悪意のあるアプリケーションのうち 5 つは開発者アカウントの署名があり、Apple によって一時的に公証されています。研究者たちは「このマルウェアに含まれるドメイン名と技術は、他の北朝鮮のハッカーによるマルウェアで使用されているドメイン名と技術と非常に似ており、このマルウェアが署名され、さらには一時的に Apple の公証プロセスを通過した兆候がある」と書いています。

ChainCatcher のメッセージによると、IT之家の報道で、開発者の Pedro Vieito が 2 日前に Thread プラットフォームで動的な投稿を行い、macOS 版 ChatGPT アプリがユーザーの対話をプレーンテキスト形式で保存することを示しました。OpenAI 社は本日、アプリを更新し、Mac デバイスに保存されたチャット履歴を暗号化処理したと応答しました。Vieito の分析によると、対話がプレーンテキスト形式でサンドボックスの外に保存されているため、ユーザーが知らないうちに、Mac 上で実行されている他のアプリケーション、プロセス、さらには悪意のあるソフトウェアによって対話にアクセスされる可能性があることを意味します。

ChainCatcher のメッセージによると、OpenAI の発表により、ChatGPT デスクトップアプリがすべての macOS ユーザー向けにリリースされました。ユーザーはショートカットキー Option + Space を使用して ChatGPT に迅速にアクセスでき、チャット、メール処理、スクリーンショット、および画面上のその他の内容を便利に行うことができます。さらに、OpenAI は新機能を導入し、ユーザーが過去の会話履歴を検索できるようになりました。ユーザーは自分のコンピュータ上で情報を迅速かつ簡単に照会することもできます。

ChainCatcher のメッセージ、Kaspersky Labs は新しいマルウェアが海賊版アプリを通じて macOS ユーザーのコンピュータに侵入し、ユーザーの暗号ウォレットを盗むことを発見しました。このマルウェアは macOS バージョン 13.6 以降を対象としており、ユーザーがコンピュータのセキュリティパスワードをアクティベーターのボックスに入力すると、ハッカーはユーザーのコンピュータのセキュリティパスワードにアクセスできます。また、ユーザーがマルウェアに感染した暗号ウォレットを開こうとすると、ハッカーは暗号ウォレットの秘密鍵にアクセスできます。Kaspersky Labs は暗号ユーザーに対し、信頼できるウェブサイトを使用し、コンピュータのオペレーティングシステムを最新の状態に保ち、安全なソリューションを使用することで、拡大し続けるマルウェア活動を回避できると警告しています。

ChainCatcher のメッセージ、Blockfence が警告を発表しました。セキュリティの脆弱性が頻繁に悪用されているため、Apple は macOS、iOS、iPadOS、tvOS、watchOS の緊急更新をリリースしました。以下のバージョンにできるだけ早く更新してください：iOS 17.2.1、iPadOS 17.2、macOS 14.2.1、tvOS 17.2、watchOS 10.2。

ChainiCatcher のメッセージによると、Cointelegraph が報じたところでは、Apple の macOS システム上で北朝鮮のハッカー組織 Lazarus に関連する新しいタイプのマルウェア「KandyKorn」が発見され、暗号コミュニティやエンジニアを標的にしています。Elastic Security Labs の分析によれば、「KandyKorn」は隠れたバックドアであり、データの取得、ディレクトリリスト、ファイルのアップロード/ダウンロード、安全な削除、プロセスの終了、コマンドの実行が可能です。最初に、攻撃者は Discord チャンネルを通じてコミュニティのメンバーを装い、Python ベースのモジュールを広めました。ソーシャルエンジニアリング攻撃により、コミュニティのメンバーは「Cross-platform Bridges.zip」という名前の悪意のある ZIP 圧縮ファイルをダウンロードするように誘導されました。このファイルは、自動的に利益を得るために設計されたアービトラージボットを模倣しています。しかし、このファイルは 13 の悪意のあるモジュールをインポートし、これらのモジュールは情報を盗み出し操作するために協力して動作します。

ChainCatcher のメッセージ、SlowMist の最高情報セキュリティ責任者 23pds が警告を発表しました。新しいマルウェア「Realst」が出現し、Apple macOS システムに対して大規模な攻撃を行っています。最新の macOS 14 Sonoma も含まれています。このマルウェアは Rust 言語で書かれており、被害者が攻撃を受けると、暗号通貨資産が盗まれ、パスワードなどの敏感な情報も奪われます。すべての macOS ユーザーに対して、警戒を強め、敏感な情報や暗号通貨資産が盗まれないように必要なセキュリティ対策を講じることを強くお勧めします。

ChainCatcher のメッセージによると、Sekoia.io の報告で、macOS オペレーティングシステムをターゲットにした Rust と Objective-C で書かれたマルウェア「RustBucket」が発見されました。これは、バックドアを持つが正常に機能する PDF リーダーをインストールする macOS インストーラーで構成されており、その偽の PDF リーダーは特定の PDF ファイルを開くことを要求し、それが悪意のある活動を引き起こすトリガーとなります。トリガーが作動すると、侵害されたシステムに関する情報が収集され、送信されます。このマルウェアは、北朝鮮と関連のあるハッカー組織 Bluenoroff に関連しているとされており、2017 年以来、Bluenoroff はヨーロッパ、アジア、そしてヨーロッパで暗号通貨取引所やベンチャーキャピタル関連の実体をターゲットにした金融活動を行っています。（出典リンク）

ChainCatcher のメッセージによると、Cyble の報告で、ある Telegram チャンネルが Atomic macOS Stealer（AMOS）という新しい情報窃取マルウェアを宣伝しています。このマルウェアは macOS 専用に設計されており、被害者のマシンからさまざまな種類の情報を盗むことができます。これには、キーチェーンのパスワード、完全なシステム情報、デスクトップやドキュメントフォルダ内のファイル、さらには macOS のパスワードが含まれます。この窃取プログラムは複数のブラウザをターゲットにしており、自動入力、パスワード、クッキー、ウォレット、クレジットカード情報を抽出することができます。具体的には、AMOS は Electrum、Binance、Exodus、Atomic、Coinomi などの暗号ウォレットをターゲットにしています。さらに、AMOS は被害者の Web パネルを提供し、助記詞や秘密鍵を盗むための MetaMask のブルートフォース攻撃、暗号チェックツール、dmg インストーラーを管理し、その後 Telegram を通じてログを共有します。これらのサービスの価格は月額 1000 ドルです。（出典リンク）

ChainCatcher のメッセージ、ウイルス対策ソフトウェアのカスペルスキー公式は、「Apple のオペレーティングシステムに再び非常に深刻な脆弱性が発見されました。攻撃者は root 権限を取得でき、ユーザーの資産の安全に危害を加える可能性があります。iOS と macOS において、これらの非常に深刻なセキュリティ脆弱性が攻撃者によって悪用されています。これらの脆弱性に対処するために、Apple は以前のいくつかのバージョンに対して迅速に更新をリリースしました。これらの脆弱性は非常に重要ですので、迅速に更新してください。」（出典リンク）

链捕手メッセージ、ネットワークセキュリティ会社SentinelOneは最近、「Operation In(ter)ception」と呼ばれるハッカー活動の最新の変種において、Lazarus Groupと呼ばれる北朝鮮のハッカー組織が、魅力的な仕事の機会を提供することでmacOSユーザーを引き寄せていると述べました。ハッカーは、人気のある暗号通貨取引所からの求人情報を装ったマルウェアを使用し、精巧にデザインされた合法的に見えるPDF文書を使って、シンガポールのアートディレクター -- コンセプトアート (NFT)などの職の空き情報を宣伝しています。同社の報告によれば、このハッカー組織は2022年8月に同様のことを行っていましたが、今回はCoinbase暗号通貨取引所の偽の求人情報を使用しています。（出典リンク）