SentinelOneは9月11日(米国時間)、「macOS MetaStealer|New Family of Obfuscated Go Infostealers Spread in Targeted Attacks - SentinelOne」において、macOSプラットフォームを標的としたインフォスティーラ(情報窃取マルウェア)が爆発的に増加していると報じた。2023年を通じて多数の新しいインフォスティーラファミリを観測したという。

  • macOS MetaStealer|New Family of Obfuscated Go Infostealers Spread in Targeted Attacks  - SentinelOne

    macOS MetaStealer|New Family of Obfuscated Go Infostealers Spread in Targeted Attacks - SentinelOne

macOSを標的とするインフォスティーラの増加については、「Macユーザーへの警告、忍び寄る情報窃取マルウェアの脅威 | TECH+(テックプラス)」でも報じたとおりである。今回、先の記事で紹介されなかった「MetaStealer」について解説している。

SentinelOneは過去数カ月間、「MetaStealer」と呼ばれるmacOSインフォスティーラファミリを追跡してきたという。MetaStealerの多くは次のような名前を持つディスクイメージとして配布されており、ビジネスユーザーを標的としているとみられている。

  • Advertising terms of reference (MacOS presentation).dmg - 広告規約(MacOSプレゼンテーション).dmg
  • CONCEPT A3 full menu with dishes and translations to English.dmg - コンセプト、料理のA3フルメニューと英語の翻訳.dmg
  • AnimatedPoster.dmg - アニメーションポスタ.dmg
  • Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg - 説明発表会の業務概要(作業指示書)クラブ会員.dmg

これらMetaStealerのディスクイメージは、有効なmacOSバンドルを形成するために必要な最小限のファイルしか含まれておらず、いずれもコード署名やアドホック署名を使用していないとされる。また興味深いことに、Intel x86_64アーキテクチャ向けのバイナリのみで、Apple M1、M2では実行できないという。このバイナリは高度に難読化されているが、SentinelOneの分析ではキーチェーン、パスワード、ファイルの窃取などの機能が確認できるとしている。

AppleのXProtect update v2170は残念ながらMetaStealerの一部のバージョンしか検出できないため、他のソリューションの導入が望まれる。SentinelOneはMetaStealerのセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、セキュリティの強化に役立てることを勧めている。