マルウェア研究者としてムーンロック、MacPawのサイバーセキュリティ部門、私たちは常にユーザーを分析して保護するための新しいサンプルを探しています。ある日、CleanMymacという名前のサンプルに出会いました。ただし、このサンプルは本物のCleanMymacではなく、悪意のあるなりすましでした。
このキャンペーンをさらに調査することを決定し、Atomic Stealer、PSW Stealer、Adload Adwareなど、内部のさまざまなマルウェアを備えたより多くのサンプルを発見しました。これらのマルウェアは、ユーザーのパスワードと個人データを盗み、Macに不要な広告を表示できます。サンプルには、マッチョファイル、DMG、シェルスクリプトなど、さまざまなファイルタイプがありました。幸いなことに、私たちのラボは常にそのような脅威を検出するためにルールを更新し、公式のCleanMymacを使用するユーザーはムーンロックエンジンこれらの攻撃から安全になります。
写真1。ましたCMMファイルは結果をスキャンしました
CybercriminalsがCleanmymacのなりすましをどのように広めるか
ただし、すべてのユーザーが、信頼できないソースからソフトウェアをダウンロードする危険を認識しているわけではありません。悪意のあるソフトウェアが配布されたいくつかのページを見つけました。これらは、マクポーの名前とロゴを活用し、ユーザーの信頼を操作したフィッシングページでした。これらのページには、MacPaw [。] Us、CleanMymac [。] Pro、Mac-Clean [。] Orgなどがありました。これらのページは、公式のMacPaw Webサイトに非常によく似ていましたが、微妙な違いとエラーがありました。今のところ、これらのページは応答しませんが、異なるドメインの下で再浮上する可能性があります。
写真2。疑わしいCMM DMGファイルとフィッシングURL「CleanMymac [。] Pro」との接続
PIC3。CMMになりすましているフィッシングドメインのvirustotalグラフ
写真4。悪意のあるURL 'CleanMymac [。] Pro'スキャン結果
フィッシングURLはマルウェアを拡散するのに十分ではないため、攻撃者はソフトウェアを宣伝するために異なるチャネルを使用します。たとえば、YouTubeチャンネル。 YouTubeで「CleanMymac x無料ダウンロードフルバージョン」を検索したとき、Covisar TVと呼ばれるハイジャックされたYouTubeチャンネルから数十のビデオを発見しました。
写真5。YouTubeで「CleanMymac x無料ダウンロードフルバージョン」を検索した結果の1つ
写真6。疑わしいURLの検索結果「www [。] mac-clean [。] org」
このチャネルは、MacPawやCleanMymacとは何の関係もありませんでした。ポルトガルのミュージカルバンドのビデオがたくさんありましたが、最後のビデオはすべて、CleanMymacとビットコインをマイニングまたは回復する方法に関するものでした。これらのビデオには、説明のフィッシングページへのリンクがあります。これは詐欺のように見え、実際、MacPawのセキュリティチームは、広告キャンペーンとウェブサイトが何であるかわからないことを確認しました。
写真7。コンビザールテレビチャンネルのコンテンツ
写真8。ハイジャックされた後のコンビザールTVチャンネルのコンテンツ
マルウェアからMacを保護する方法
これは、サイバー犯罪者が正当なソフトウェアや企業になりすまして、ユーザーをだましてマルウェアのダウンロードにどのようになりすましているかのほんの一例です。なりすまし攻撃は、ユーザーのセキュリティとプライバシーに対する深刻な脅威であり、経済的、感情的、評判の損害を引き起こす可能性があります。したがって、これらの攻撃とそれらを防ぐ方法についての認識を高めることが重要です。ここに、なりすましの攻撃の犠牲者の犠牲者を避けるためのいくつかのヒントがあります。
- 公式WebサイトまたはApp Storeから常にソフトウェアをダウンロードしてください。不明なソースやサードパーティのWebサイトからのリンクを信頼しないでください。
- 何かをダウンロードする前に、WebサイトURLを確認してください。スペルエラー、珍しい文字、または異なるドメインを探してください。たとえば、MacPawの公式WebサイトはMacpaw.comであり、Macpaw.usまたはmacpaw.proではありません
- ソフトウェアの送信者または出版社の身元を確認します。デジタル署名、証明書、レビューなど、信頼性の兆候を探してください。確信が持てない場合は、会社に直接連絡して確認を求めてください。
- ムーンロックエンジンを備えたCleanMymacなどの信頼できるアンチウイルスまたはMacクリーナーソフトウェアを使用して、Macを定期的にスキャンして脅威を削除します。ソフトウェアを更新し、セキュリティの推奨事項に従ってください。
これらのヒントに従うことで、自分自身とMacをなりすまし攻撃から保護し、安全でスムーズなオンライン体験を楽しむことができますか?
Miter ATT&CK®テクニック
戦術 | 技術 | 手順 |
実行(TA0002) | Applescript(T1059.002) | Appleスクリプトやその他のOSA言語スクリプトをshellコマンド「osascript」で実行する |
実行(TA0002) | スクリプト(T1064) | シェルコマンドラインインタープリターを使用してコマンドを実行します |
持続性(TA0003) | プリスト変更(T1547.011) | プロパティリスト(.plist)ファイルをディスクに書き込みます |
防衛回避(TA0005) | 隠されたファイルとディレクトリ(T1564.001) | ファイルリソースフォーク拡張属性を読み取り、非表示のファイル、リンク、および/またはディレクトリを作成します |
防衛回避(TA0005) | 難読化されたファイルまたは情報(T1027) | MACH-Oには、圧縮/暗号化されたコンテンツを示すエントロピーが高いセクションが含まれています |
防衛回避(TA0005) | ファイルとディレクトリの権限変更(T1222) | 権限の変更に使用される「CHMOD」コマンドを実行します。 サンプルは実行可能フラグを設定しようとします |
防衛回避(TA0005) | コード署名(T1553.002) | サンプルは、アドホック署名によって署名されたコードです |
発見(TA0007) | システム情報発見(T1082) | システムのホスト名、OSのリリースおよび/またはタイプ、システムまたはサーバーバージョンのプリストファイル、SYSCTLセーフブート値(おそらくシステムがセーフブートモードであるかどうかを確認するため)を読み取ります |
発見(TA0007) | セキュリティソフトウェアの発見(T1518.001) | 「uname」システムコールを使用してカーネルバージョン情報(回避の可能性)を照会します |
発見(TA0007) | プロセス発見(T1057) | 他のプロセスのプロセス情報を読み取ります |
Exfltration(TA0010) | 代替プロトコルを介した剥離(T1048) | ネットワークを介してデータを転送するために使用される「Curl」コマンドを実行します(通常はHTTP/sを使用して) |
C&C(TA0011) | アプリケーションレイヤープロトコル(T1071) | マルウェアはC&Cサーバーと通信します |
妥協の指標(IOC)
インジケーター | 説明 |
7C3418B4FADDDDDDD610C298F006E8E39119352681E89430ABDF73E50E289C62 | アドロードアドウェア |
96F80FEF323E5BC0CE067CD7A93B9739174E29F786B09357125550A033B0288 | PSWスティーラー |
2DFF6BEA7068575897999999999999999999999999999999995A289FCBEA7A184D034BCC64BD883B3 | PSWスティーラー |
A9CF77F0F4BEA1A5DF4380002190CB07D212F69F28524E98135CC916FFCB536 | ダウンローダー |
BE14C0850391FADBB2056C8C8CABA44251A093A48210D45A5958632E87D0A18 | アトミックスティーラー |
51048464b4fe5d0ed4a6a6fe4e30528fc815bff12f0cbb4cf57dc44ac2ea168d | アトミックスティーラー |
3805CB7589DA01A978E89FD4A051ADEC083C8543343CE637E448716CBBCEF1 | アトミックスティーラー |
A4D7014A4D8DBCE95960D44BE9931273D1A76BFFF1132597C20BCF25697F2B9 | アトミックスティーラー |
CleanMymac [。] Pro | フィッシングサイト |
MacPaw [。]私たち | フィッシングサイト |
www [。] mac-clean [。] org | フィッシングサイト |
https:// cleanmymac [。] pro/files/cleanmymac-app [。] dmg | マルウェアダウンロードURL |
https:// www [。] youtube [。] com/@covisartv/videos | 疑わしいCMM URLが宣伝されているYouTubeチャネル |
https:// www [。] youtube [。] com/@visanewsbd6404/videos | 疑わしいCMM URLが宣伝されているYouTubeチャネル |