4 月に発見された macOS マルウェアは、Google でソフトウェアを検索している人々が正当な広告として表示されるマルウェアを発見するという、新たな攻撃ベクトルを発見しました。

Atomic macOS Stealer (AMOS) として知られるマルウェア ペイロードが初めて登場4月にTelegram で月額 1,000 ドルで販売されています。インストールされると、攻撃的なポップアップを介してユーザーのシステム パスワードを収集し、パスワード、暗号化、ファイルなどの機密データを吸い出します。

によると報告書Malwarebytes の研究者によると、AMOS は Google の広告スキームを介して疑いを持たない検索者に配信されています。広告は正規で料金が支払われていますが、ユーザーが検索している Web サイトやソフトウェアに見せかけています。

この攻撃は、広告検索結果をクリックする際のユーザーの Google に対する信頼に依存しています。ページの上部に表示され、Google の承認の広告スタンプが付いているため、ユーザーは不審な URL やドメイン所有者を検査することなくクリックスルーします。

ユーザーがリンクをクリックすると、通常の外観のページが表示されます。攻撃者は、ユーザーが期待する Web サイトのほぼ完璧なクローンを作成し、クリックスルーしてソフトウェアをダウンロードします。

AMOS はアドホック署名済みアプリであるため、Gatekeeper を介した通常のインストール プロセスを実行する必要はありません。ユーザーは右クリックして、マウントされた .dmg ファイルからソフトウェアを開くように指示されます。

ファイルを開いた後、ユーザーが折れてパスワードを入力するまで、システム パスワードを求める偽のプロンプトが表示され続けます。次に、ユーザーのキーチェーン、ファイル システム、暗号ウォレットから可能な限りのデータを収集し、マルウェア オペレーターに送信します。

偽装されたマルウェア配信ページ。出典: Malwarebytes

AMOS から身を守る方法

Google は絶対確実なツールではありません。ユーザーのアカウント データとキーワードに基づいて情報が配信されるため、悪意のある広告が審査で常に捕捉されるわけではありません。

インターネットの最も重要なセキュリティ規則は、URL に注意を払うことです。 Malwarebytes が提供する例では、URL は trabingviews.com です。

ユーザーは、Web からソフトウェアをダウンロードする場合は常に注意する必要があります。ザ・マックアプリストア~にとって最も安全なルートですマックしかし、それが常に選択肢になるわけではありません。

Google の結果、リダイレクト先の URL、およびソフトウェア インストーラー自体に注意してください。ソフトウェアのインストールを要求する方法には注意してください。ほとんどのソフトウェアは、ゲートキーパーをバイパスするようにユーザーに要求すべきではありません。

危険信号の可能性があるのは、ユーザーがインストーラー イメージ上の適切な場所でアプリを開くことを要求するソフトウェアです。一般的なルールとして、インストールされているアプリを Finder にドラッグするようにユーザーに要求する必要があります。

また、特に新しいソフトウェアをインストールした直後は、システム パスワードのランダムな要求にも注意してください。ダイアログにデザインの不規則性やタイプミスがないかどうかを検査します。