macOSのパスワードやファイルなどを盗み出すマルウェア「AMOS」

MacがWindows PCよりもサイバー攻撃に対して安全だと言われる大きな理由は、要はユーザー数が相対的に少なく、犯罪者の標的にされにくいからだ。Appleシリコン（独自開発チップ）に移行してからはさらに減るとも思われたが、数ヶ月と経たずにネイティブ動作するマルウェアが発見されていた。

そして今回、ユーザー名やパスワード、キーチェーン情報などを盗み出す危険なマルウェアが見つかったと報告されている。

「Atomic macOS Stealer」（AMOS）と呼ばれるマルウェアは、ダークウェブやサイバー犯罪の監視で知られるCyble ResearchによってTelegram上で発見された。特にmacOSをターゲットとして機密情報を盗み出せると宣伝・販売するTelegramチャンネルがあったという。

このマルウェアを開発した人物は、常に改良を重ねており、より効果を発揮できるよう新機能を追加し続けている。4月25日に確認された最新版では、キーチェーンのパスワードや完全なシステム情報、デスクトップやドキュメントフォルダのファイル、さらにmacOSのパスワードまでアクセスできると謳われているそうだ。

実際に標的とされるのはChromeやEdge、Firefoxといったブラウザアプリだ。そこからオートフィル情報やパスワード、Cookie、仮想通貨ウォレット、クレジットカード情報も抜き取れるという。仮想通貨としてはElectrum、Binance、Atomicが標的とされている。

そのほか、秘密鍵をブルートフォース（総当たり攻撃）するツールや、被害者を“管理”するためのウェブパネル（インターフェース）もセットとされ、月額1,000ドル（約13万6,000円）で利用できるという。いわば、マルウェアのサブスクリプションである。

被害者のMacにマルウェアを侵入させる手段としては、.dmgファイル（macOS向けソフトを配布するためのディスクイメージファイル）が使われる。インストールされると、すぐにファイルへのアクセスとリモートサーバーへの送信を開始。さらに偽のシステムプロンプトが表示され、システムパスワードや、ドキュメントとデスクトップフォルダ内のファイルへのアクセス権を要求するという。

しかし、.dmgファイルはユーザー本人が手動でクリックし、インストールする必要がある。つまり怪しげなファイルは触らないでおくか、macOSから開発元が未確認だと警告されたときにインストールを止めれば、危険は避けられる。

Cyble Researchは、なるべくMac App Store以外のアプリをインストールしないこと、強力なパスワードと多要素認証を使うこと、できれば生体認証を併用することを推奨している。

また、メールに貼られたリンクを踏まない、アプリから許可を求められたら脊髄反射でクリックせずに注意する、macOSを常に最新の状態に保つなどの対策も有効だろう。最も危ういセキュリティホールは、ユーザー本人の不注意であると肝に銘じたいところだ。

Source: Cyble
via: MacRumors