新型macOSマルウェアPamStealerがMaccyクリップボード管理ツールのユーザーを狙う

Macworld の報告によると、Jamf Threat Labs は、Maccy クリップボードマネージャを使用しているユーザーを狙った新しい macOS マルウェア「PamStealer」を発見しました。このマルウェアは、偽のウェブサイトを通じて悪意のある Apple Script ファイルを配布します。この精巧なマルウェアは、静かな実行チェーンを利用し、macOS のプラグイン可能な認証モジュール(PAM)を介してログインパスワードを盗み出すため、検出が困難です。ユーザーは、公式の maccy.app ウェブサイトまたは GitHub からのみ Maccy をダウンロードし、疑わしいリンクを避け、Mac の App Store を使用してより安全にソフトウェアをインストールすることをお勧めします。

PamStealer マルウェアの拡散方法

Jamf Threat Labs は、サードパーティのクリップボードマネージャ Maccy のユーザーに新しいマルウェアに注意するよう警告する報告書を発表しました。このマルウェアは PamStealer と呼ばれ、実際の Maccy ウェブサイトを偽装した悪意のあるサイトを通じて配布され、ダウンロードされたファイルは訪問者に合法的な Maccy ファイルを取得したと誤認させます。これらの偽造ファイルは Maccy.scpt という名前の Apple Script ファイルであり、合法的なインストールファイルのように見え、ディスクイメージの形式で配布されます。

ユーザーがこのスクリプトを実行すると、スクリプトの実行を指示され、その後ペイロードがトリガーされ、ユーザーの Mac 上の情報を追跡し、脅威エージェントに送信します。PamStealer という名前は、このマルウェアが macOS のプラグイン可能な認証モジュールを通じて被害者のログインパスワードを検証することから来ています。

悪意のあるファイルのダウンロードを避けるために、Maccy ユーザーは maccy.app ウェブサイトにアクセスしていることを確認する必要があります。ウェブサイトの声明によれば、「maccy.app は唯一の公式ウェブサイトです」。ユーザーはまた、Maccy の GitHub サイト https://github.com/p0deje/Maccy にアクセスすることもでき、こちらでも「maccy.app は唯一の公式ウェブサイトです」と記載されています。Maccy は無料のオープンソースクリップボードマネージャで、クリップボードの履歴を追跡することができます。

Apple は最近、macOS Tahoe に Spotlight を通じてクリップボード履歴トラッカーを導入したため、これらのサードパーティ製マネージャは上級ユーザーの間で非常に人気があります。

悪意のあるソフトウェアから自分を守るための最良の方法

しかし、Jamf が説明しているように、この特定の脅威の伝達メカニズムは、このアプリケーションだけでなく、他のアプリケーションにも深遠な影響を及ぼす可能性があります。ディスクイメージと Apple Script ベースのマルウェアは macOS 上で比較的成熟しているものの、PamStealer はそれらを興味深い方法で組み合わせています。この Apple Script は、curl や zsh などのシェルコマンドに依存せず、自己完結型の自動化 JavaScript(JXA)ダウンローダを実行し、ネイティブの Objective-C API を使用してペイロードを取得し準備します。

Rust ベースの第二段階と PAM のローカル認証資格情報を通じたパスワードキャプチャワークフローを組み合わせることで、最終的には、通常観察される商品化された macOS スティーラーよりも静かな実行チェーンが形成されます。

報告書は、攻撃がどのようにユーザーを欺くかを深く掘り下げ、「これらの行動は、商品化された macOS スティーラーがどのように進化し続け、より静かな実行チェーンとネイティブ実装を採用し、従来の検出機会を減少させつつ、標準の macOS 機能と互換性を保つかを示しています。」と結論付けています。

悪意のあるソフトウェアから自分を守るための最も簡単な方法は、知らないダウンロードサイトからソフトウェアをダウンロードしないことです。未知の出所からのメールやメッセージのリンクを絶対に開かないでください。もし受け取ったメッセージが取引先からのものであるように見える場合は、送信者のメールアドレスを確認し、URLを注意深く確認してください。リンクやボタンが表示された場合は、Control キーを押しながらクリックし、「リンクアドレスをコピー」を選択し、テキストエディタに貼り付けて実際の URL を確認できます。

Apple の Mac App Store で審査されたソフトウェアは、アプリを入手する最も安全な方法です。Mac App Store を使用したくない場合は、開発者やそのウェブサイトから直接ソフトウェアを購入できます。もしも違法にソフトウェアを使用することにこだわるのであれば、常に悪意のあるソフトウェアのリスクが伴います。Macworld では、ウイルス対策ソフトウェアが必要かどうかに関するガイドや、Mac のウイルス、マルウェア、トロイの木馬のリスト、Mac のセキュリティソフトウェアの比較を含むいくつかのガイドを提供しています。

著者:Roman Loyola、Macworld シニアエディター。Roman は Macworld のシニアエディターで、Apple エコシステム内の Mac やその他の製品に焦点を当て、30 年以上の技術業界報道の経験を持っています。彼はまた、Macworld ポッドキャストのホストでもあります。彼のキャリアは MacUser から始まり、当時 Apple がこの認証を行っていた時に Apple 認定の修理技術者資格を取得しました。彼はまた、MacAddict、MacLife、TechTV でも働いていました。

Nakumura
Nakumura
関連サイト:中文版 / TechRitualThe Base Principle