Malwarebytesは3月1日(米国時間)、「Malicious meeting invite fix targets Mac users|Malwarebytes」において、会議の招待状に見せかけたフィッシング攻撃を通じてMacユーザーにマルウェアが配布されているとして、注意を呼び掛けた。サイバー攻撃者は標的に対し「カレンダーに会議を追加するためのリンク」と偽のメッセージを送り、最終的にマルウェアをインストールするスクリプトを実行させるという。

  • Malicious meeting invite fix targets Mac users|Malwarebytes

    Malicious meeting invite fix targets Mac users|Malwarebytes

偽の会議とAppleScript

投資家のSignum Capital氏は1月22日、チームメンバーの1人を装った偽アカウントがTelegram上でダイレクトメッセージを配布していると警告した。Malwarebytesによると、この攻撃を実行した脅威アクターは、ダイレクトメッセージを通じて標的に接触し、投資話について電話や会議に参加しないかと持ちかけるという。

投資話に興味があると応じると、会議のための招待状が送られてくるが、その招待状に記載されたリンクは正常に機能しない。そこで脅威アクターに連絡を取ると「アクセス制限に問題がありスクリプトを実行すれば解決できる」と返事が来るが、このスクリプトにマルウェアが含まれているという。

  • 偽のダイレクトメッセージについて注意を促すXへの投稿

    偽のダイレクトメッセージについて注意を促すXへの投稿

脅威アクターが最終的に配布するスクリプトは「AppleScript」とされる。AppleScriptはコンパイルすることでリバースエンジニアリングが困難になり、通常のアプリのように動作させることができる。また、管理者権限を簡単に取得できる利点もある。MalwarebytesによるとAppleScriptで記述されたマルウェアには「OSX.DubRobber」や「OSX.OSAMiner」があるという。

攻撃への対策

Malwarebytesはこのような攻撃を回避するために、脅威アクターの行動を理解しておくことが役立つとしてそのいくつかを次のように挙げている。

  • この脅威アクターはTelegramのダイレクトメッセージを使って連絡を取る
  • トピックは暗号資産の投資話
  • この脅威アクターはCalendlyスケジュールプラットフォームを使用する
  • 偽の「アクセス制限」を口実にして標的を騙す
  • スクリプトにはAppleScriptの拡張子「.scpt」が使われている
  • このスクリプトは会議サポートサイトを装ったドメインから配布される

以上が、今回の事案における脅威アクターの行動の特徴となる。これらに該当する事案に遭遇した場合は注意すべきだが、脅威アクターはいずれ作戦を変更するものとみられる。そのため、「うまい話は警戒する」、「信頼できる開発者のアプリやスクリプト以外は実行しない」など、基本的な対策を継続的に実践することが望まれている。