macOSを狙う新型情報窃取マルウェア「Infinity Stealer」が登場
セキュリティ企業Malwarebytesの研究者が、macOSを標的とする新しい情報窃取マルウェア「Infinity Stealer」を発見した。このマルウェアは、オープンソースのPythonコンパイラ「Nuitka」を使って実行ファイル化されており、従来の検出手法をすり抜ける高い回避性能を持つ。
ClickFix手法で偽CAPTCHAに誘導
攻撃の起点は、update-check[.]com というドメインに設置された偽サイトだ。Cloudflareの人間確認(CAPTCHA)を模したページを表示し、「認証を完了するためにターミナルへコマンドを貼り付けてください」とユーザーを誘導する。この手口は「ClickFix」と呼ばれ、近年Windows環境での攻撃でも多用されているが、macOSへの適用は今回が初の記録例となる。
貼り付けさせるのはBase64でエンコードされた curl コマンドで、実行するとBashスクリプトが展開される。スクリプトは /tmp ディレクトリへ第2段階のローダーを書き込み、macOSの隔離フラグ(quarantine flag)を削除してから nohup 経由で起動する。終了後はスクリプト自身を削除してターミナルウィンドウも閉じるため、ユーザーは不審な挙動に気づきにくい。
Nuitkaで「ネイティブバイナリ化」し解析を困難に
NuitkaはPythonコードをC言語に変換してネイティブバイナリにコンパイルするツールだ。よく使われる PyInstaller がPythonインタープリタとバイトコードをまとめてパッケージ化するのに対し、Nuitkaが生成するバイナリにはバイトコード層が存在しないため、リバースエンジニアリングが格段に難しくなる。
第2段階のNuitkaローダーは8.6MBのMach-Oバイナリで、内部にzstd圧縮された35MBのアーカイブを含む。このアーカイブから展開される第3段階が実際のInfinity Stealer本体(UpdateHelper.bin)だ。
窃取対象は幅広い——キーチェーン・暗号通貨ウォレットも
マルウェアは動作前に仮想環境やサンドボックス上での実行を検知する対策を講じている。解析を回避したうえで、以下のデータを収集する。
- ChromiumベースブラウザおよびFirefoxの認証情報
- macOS キーチェーンのエントリ
- 暗号通貨ウォレット
.envファイルなど開発者ファイル内の平文シークレット- スクリーンショット
窃取されたデータはHTTP POSTリクエストでC2(コマンド&コントロール)サーバーへ送信され、完了後はTelegram経由で攻撃者に通知が届く仕組みだ。
対策:ターミナルへの不審なコマンド貼り付けに注意
Malwarebytesは「macOSを狙う脅威はより高度・標的型になっている」と警鐘を鳴らしている。対策として最も重要なのは、Webサイトやポップアップに誘導されてターミナルへコマンドを貼り付けないことだ。Cloudflare等の正規サービスが認証のためにターミナル操作を求めることはない。
日本でも暗号通貨ユーザーや開発者は特に注意が必要だ。.env ファイルに記載されたAPIキーやトークンが標的になるケースは今後増加すると見られる。
元記事: New Infinity Stealer malware grabs macOS data via ClickFix lures