新しいMacマルウェア「MacSync」が暗号資産ウォレットを窃取

ブロックチェーンセキュリティ会社SlowMistは、「MacSync Stealer」(v1.1.2)と呼ばれる非常に破壊的な新しいmacOS情報窃取マルウェアについて 警告しました。 

この活発なマルウェアキャンペーンは、暗号資産ウォレットを空にし、機密性の高いインフラ認証情報を窃取することを目的として、Appleユーザーを標的にしています。

手口 

悪意のある攻撃者は、ユーザーの防御を回避するために欺瞞的なソーシャルエンジニアリング戦術を使用します。 

このマルウェアは、偽のAppleScriptシステムダイアログを使用して正規のmacOSパスワードプロンプトを模倣し、ユーザーのログイン認証情報をフィッシングします。

マルウェアは、被害者が罠にかかった後、バックグラウンドで静かにデータを窃取します。MacSync Stealerはデータ抽出が完了した直後に偽の「サポートされていない」エラーメッセージを表示し、疑惑を生じさせないようにします。この手口により、アプリケーションが単純に起動に失敗したように見せかけます。

暗号資産ユーザーに加え、このマルウェアはブラウザの認証情報、macOSシステムキーチェーン、SSH、AWS、Kubernetes（K8s）の認証情報を含む重要なインフラキーを標的にしています。

その他のMacOS関連インシデント 

これは孤立した事件ではありません。BybitのセキュリティチームはついにClaude Codeを検索しているmacOSユーザーを標的にしたマルウェアキャンペーンを 発見しました。

最近、Microsoft Threat Intelligenceは、北朝鮮の国家支援を受けた脅威アクターとして知られる「Sapphire Sleet」によって組織された、高度に標的を絞ったmacOSキャンペーンを暴露しました。Sapphire Sleetは高度なソーシャルエンジニアリングを使用して正規のmacOSソフトウェアアップデートになりすまし、暗号資産ウォレットを盗みます。 

「Infinity Stealer」マルウェアについても言及する必要があります。これはWindowsを中心とした攻撃手法がmacOS向けに適応されていることを示しました。このマルウェアは「ClickFix」技術を使用して被害者に偽のCAPTCHAページを提示します。サイバーセキュリティ会社SOC Primeも「MioLab」を特定しており、これは暗号資産保有者を含む高価値な標的を明示的に狙うために構築された商業的に配布されたmacOS情報窃取マルウェアです。