サイバーセキュリティ研究者は、暗号通貨を保有する macOS ユーザーを標的とした巧妙なマルウェアキャンペーンを発見しました。この悪意のあるソフトウェアは、Atomic Stealer (AMOS) として知られ、人気のある Ledger Live アプリケーションを模倣して貴重な暗号通貨ウォレットのシードフレーズを盗み、無防備な被害者からデジタル資産を搾取します。
最も差し迫った問題 は、このマルウェアが正当な Ledger Live アプリケーションをほぼ同一の悪質なクローンに置き換える能力に関わっています。一度被害者のシステムにインストールされると、この偽アプリケーションは、セキュリティ検証やウォレット同期の目的で24ワードのリカバリーフレーズを入力するよう求める誤解を招くポップアップメッセージを表示します。
このソーシャルエンジニアリング戦術は、Ledger ハードウェアウォレットを管理するために広く使用されている本物の Ledger Live アプリケーションへのユーザートラストを悪用します。被害者がシードフレーズを入力すると、その機密情報は即座に攻撃者が制御するコマンドアンドコントロールサーバーに送信され、サイバー犯罪者に関連する暗号通貨ウォレットへの完全なアクセスを提供します。
Unit 42、Intego、Moonlock を含む複数の企業のセキュリティ研究者は、この手法を用いたアクティブなキャンペーンを確認しており、被害者からは数百から数千ドルに及ぶ盗難された暗号通貨の重大な財務損失が報告されています。
配布方法と初期感染ベクター
Atomic Stealer マルウェアは、潜在的な被害者に到達するために複数の洗練された配布チャネルを採用しています。主な感染ベクターには、正当なソフトウェアダウンロードポータルを模倣した注意深く作られたフィッシングサイト、人気のあるウェブサイトに配置された悪意のある広告、および侵害されたソフトウェアリポジトリが含まれます。
攻撃者は頻繁に検索エンジン最適化技術を使用して、正当なアプリケーションを探す際にユーザーの検索結果に目立つように悪意のあるダウンロードサイトが表示されるようにします。これらの偽サイトはしばしば公式のブランドの信じられる複写を特徴とし、偽造されたユーザーレビューや推薦文を含む場合もあります。
もう一つの一般的な配布方法は、人気のある有料ソフトウェアのクラック版や海賊版を提供することです。ユーザーが高価なアプリケーションの無料代替品を求めている際に、無意識に Atomic Stealer ペイロードをバンドルした表面上は機能するソフトウェアを含む悪意のあるインストーラをダウンロードします。
マルウェアのインストーラはしばしば盗まれたまたは詐欺的な証明書でデジタル署名されており、基本的なセキュリティチェックを回避し、オペレーティングシステムやセキュリティソフトウェアに正当であるかのように見えます。この手法により、初期感染の成功率が大幅に向上します。
...