Cybleはこのほど、「Cyble — Threat Actor Selling New Atomic macOS (AMOS) Stealer on Telegram」において、macOSを標的とするインフォスティーラ型マルウェアを販売するサイバー攻撃者を発見したと伝えた。TelegramでAtomic macOS Stealer(AMOS)と呼ばれる新たなインフォスティーラ型マルウェアが月額1000ドルほどで提供されていることがわかった。
Atomic macOS Stealerは、被害者のmacOSからキーチェーンのパスワード、システム情報、デスクトップおよびドキュメントフォルダのファイル、ログインパスワードなど、さまざまな種類の情報を盗むことができるとされている。ターゲットには複数のWebブラウザも含まれており、オートフィル、パスワード、Cookie、ウォレット、クレジットカード情報などを抽出可能になっているという。Electrum、Binance、Exodus、Atomic、Coinomiなどの暗号資産ウォレットが標的になっていることが確認されている。
Cybleはこのマルウェアの背後にいる脅威者が、常にAtomic macOS Stealerを改良して進化を続けていると分析している。Telegramで購入者に対し被害者を管理するためのWebパネル、メタマスク向けのブルートフォース攻撃、暗号チェッカー、dmgインストーラなどの追加サービスの提供を始めたことも特定されている。
macOSユーザーは信頼できるソースからのみソフトウェアをダウンロードしてインストールするよう心がけるとともに、二要素認証(2FA: Two-Factor Authentication)の有効化やアプリケーションの権限を確認するなどの対策を行うことが求められている。電子メールやSMSメッセージで受け取った疑わしいリンクは開かないよう注意することが望まれる。