新型macOSマルウェアPamStealerがMaccyクリップボード管理ツールのユーザーを狙う

Macworld の報道によると、Jamf Threat Labs は PamStealer という新しい macOS マルウェアを発見しました。このマルウェアは Maccy クリップボードマネージャーを使用しているユーザーをターゲットにしており、偽のウェブサイトを通じて悪意のある Apple Script ファイルを配布しています。この精巧なマルウェアは静かな実行チェーンを利用し、macOS のプラグイン認証モジュール(PAM)を介してログインパスワードを盗むため、検出が難しくなっています。ユーザーは公式の maccy.app ウェブサイトまたは GitHub からのみ Maccy をダウンロードし、疑わしいリンクを避け、Mac App Store を使用してより安全にソフトウェアをインストールすることをお勧めします。

PamStealer マルウェアの拡散方法

Jamf Threat Labs は、サードパーティのクリップボードマネージャー Maccy のユーザーに対して新しいマルウェアに注意するよう警告する報告書を発表しました。このマルウェアは PamStealer と呼ばれ、実際の Maccy ウェブサイトを偽装した悪意のあるサイトを通じて配布され、ダウンロードされたファイルは訪問者に合法的な Maccy ファイルを手に入れたと誤解させます。これらの偽造ファイルは Maccy.scpt という名前の Apple Script ファイルであり、一見合法的なインストールファイルのように見え、ディスクイメージの形式で配布されます。

ユーザーがこのスクリプトを実行すると、スクリプトを実行するよう指示され、その後ペイロードがトリガーされ、ユーザーの Mac 上の情報を追跡し、脅威エージェントに送信します。PamStealer という名前は、このマルウェアが macOS のプラグイン認証モジュールを通じて被害者のログインパスワードを認証するために由来しています。

悪意のあるファイルをダウンロードしないために、Maccy ユーザーは maccy.app ウェブサイトにアクセスしていることを確認する必要があります。このウェブサイトの声明によれば、「maccy.app は唯一の公式ウェブサイトです」。ユーザーは Maccy の GitHub ウェブサイト https://github.com/p0deje/Maccy にもアクセスでき、そこでも「maccy.app は唯一の公式ウェブサイトです」と記載されています。Maccy はクリップボードの履歴を追跡できる無料のオープンソースクリップボードマネージャーです。

Apple は最近、macOS Tahoe に Spotlight を通じてクリップボード履歴トラッカーを導入したため、これらのサードパーティのマネージャーは上級ユーザーの間で非常に人気があります。

悪意のあるソフトウェアから自分を守るための最良の方法

しかし、Jamf が説明しているように、この特定の脅威の伝達メカニズムは、このアプリケーションだけでなく、広範な影響を及ぼす可能性があります。ディスクイメージと Apple Script ベースのマルウェアは macOS 上で比較的成熟していますが、PamStealer はそれらを興味深い方法で組み合わせています。この Apple Script は curl や zsh などのシェルコマンドに依存せず、自己完結型の自動化 JavaScript(JXA)ダウンローダーを実行し、このダウンローダーはネイティブの Objective-C API を使用してペイロードを取得し準備します。

Rust ベースの第二段階と PAM ローカル認証資格情報を介したパスワードキャプチャワークフローを組み合わせることで、最終的には通常観察される商品化された macOS スティーラーよりも静かな実行チェーンが形成されます。

報告書は攻撃がどのようにユーザーを欺くかを深く掘り下げ、「これらの行動は商品化された macOS スティーラーがどのように進化し続け、より静かな実行チェーンとネイティブ実装を採用し、従来の検出機会を減少させつつ、標準の macOS 機能との互換性を保っているかを示しています。」と結論付けています。

悪意のあるソフトウェアから自分を守るための最も簡単な方法は、知らないダウンロードサイトからソフトウェアをダウンロードしないことです。未知の出所や予期しないソースからの電子メールやメッセージ内のリンクを決して開かないでください。もし受け取ったメッセージが取引先からのものであるように見える場合は、送信者のメールアドレスを確認し、URLを慎重にチェックしてください。リンクやボタンが表示された場合は、Control キーを押しながらクリックし、「リンクアドレスをコピー」を選択し、テキストエディタに貼り付けて実際の URL を確認できます。

Apple の Mac App Store で審査されたソフトウェアは、アプリを入手する最も安全な方法です。もし Mac App Store を使用したくない場合は、開発者やそのウェブサイトから直接ソフトウェアを購入することができます。もし違法コピーソフトウェアを使用することにこだわるのであれば、常にマルウェアのリスクが存在します。Macworld では、ウイルス対策ソフトウェアが必要かどうかに関するガイド、Mac のウイルス、マルウェア、トロイの木馬のリスト、そして Mac のセキュリティソフトウェアの比較を含むいくつかのガイドラインを提供しています。

著者:Roman Loyola、Macworld シニアエディター。Roman は Macworld のシニアエディターで、Apple エコシステム内の Mac およびその他の製品に焦点を当てた 30 年以上の技術業界報道の経験を持っています。彼はまた、Macworld ポッドキャストのホストでもあります。彼のキャリアは MacUser から始まり、その時に Apple 認定の修理技術者資格を取得しました(Apple がその認定を行っていた時期です)。彼はまた、MacAddict、MacLife、TechTV でも働いていました。

Nakumura
Nakumura
関連サイト:中文版 / TechRitualThe Base Principle