Uptycsはこのほど、macOSを標的とした新たな情報窃取型マルウェアが配布されているとして、注意を呼び掛けた。「MacStealer」と呼ばれるmacOSステーラがダークWeb市場で発見されている。
MacStealerはTelegramをコマンド&コントロール(C2: Command and Control)プラットフォームとして使用し、データを流出させるマルウェア。被害者のドキュメントやブラウザのCookieからログイン情報などを抽出して窃取するとみられている。主にM1およびM2 CPUで動作するmac OS Catalina以降のバージョンを搭載したデバイスに影響を与えるとされている。
Google Chrome、Mozilla Firefox、Braveなどのブラウザから、iCloud Keychainデータ、パスワード、クレジットカード情報を抽出するよう設計されていることが確認されている。また「.txt、.doc、.docx、.pdf、.xls、.xlsx、ppt、.pptx、.jpg、.png、.csv、.bmp、.mp3、.zip、.rar、.py、.db」といったさまざまな拡張子のファイルを窃取する機能も備わっているという。
今のところ配布手段は特定できていないが、「weed.dmg」という名の.dmgファイルを使用してマルウェアを拡散させている。被害者がweed.dmgを実行すると偽のパスワードプロンプトが表示される仕組みになっており、パスワードを入力してしまうとデータが窃取されてしまうとのことだ。
MacStealerのような脅威の緩和策として、macOSおよびセキュリティソフトウェアを最新の状態に保つことが推奨されている。また「プライバシーとセキュリティ」の設定を「App Store」または「App Storeと確認済みの開発元からのアプリケーションの許可」にし、信頼できるソースからのファイルのインストールのみを許可することが重要とされている。