Malwarebytesは11月21日(米国時間)、「Atomic Stealer distributed to Mac users via fake browser updates|Malwarebytes」において、侵害されたWebサイトを通じて偽のブラウザアップデートを配布するマルウェアキャンペーン「ClearFake」について報じた。これは2023年8月ごろにRandy McEoin氏が発見し、その後複数のアップグレードを経て蔓延する危険なソーシャルエンジニアリングスキームとされる(参考:「ClearFake Malware Analysis | malware-analysis」)。
2023年11月17日、セキュリティ研究者のAnkit Anubhav氏は、主にWindowsユーザー向けであったClearFakeが、Macユーザーに対しても偽のブラウザアップデートを配布していることを確認したという。配布が確認された偽のブラウザアップデートは、SafariおよびGoogle Chrome用のアップデートとされる。これら偽のブラウザアップデートファイルはDMGファイル形式で配布され、インストールするとマルウェア「Atomic macOS Stealer(別名:AMOS)」がインストールされるという。
Atomic macOS Stealerは2023年4月ごろに発見されたインフォスティーラ型マルウェアで、被害者のmacOSからキーチェーンのパスワード、システム情報、デスクトップおよびドキュメントフォルダのファイル、ログインパスワードなど、さまざまな種類の情報を盗めると見られている(参考:「Mac狙う新型マルウェア「Atomic macOS Stealer」、月額販売を発見 | TECH+(テックプラス)」)。
ClearFakeは最近の主要なソーシャルエンジニアリングキャンペーンの一つとなっているため、MalwarebytesはMacユーザーにもWindowsのような防衛策を講じることを推奨している。具体的にはブラウザ保護機能のついたセキュリティソリューションの導入や、Malwarebytes Browser Guardのようなブラウザを保護する拡張機能の導入を推奨している。また、Malwarebytesはこのキャンペーンの分析で判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。