
PamStealerは、macOSを標的とする新しいタイプのインフォスティーラー型マルウェアです。
ユーザが気づかないうちに正規のアプリ(クリップボード管理ツール「Maccy」など) に偽装して侵入し、システムログイン時の認証情報を盗み出す悪質なプログラムです。
以前から、インフォスティーラー型マルウェアは多数確認されています。
今回のマルウェアはどういったところに違いがあるのでしょうか。
- パスワードの盗み方
- 従来のmacOS向けマルウェア
本物っぽい偽画面を出し、ユーザが入力した文字をそのまま(間違っていても)ハッカーに送信します。 - PamStealer
macOSの内部システム(PAM)を悪用します。
入力されたパスワードが本当に正しいかその場でテストするのです。
その役割をあらかじめ持っている侵害環境のシステム標準の機能を使って、です。
- 従来のmacOS向けマルウェア
セキュリティの突破は、AppleScript(自動化ツール)を悪用して実現します。
ユーザに画面上で「Command + R(実行)」を押すよう誘導し、ユーザ自身の手でセキュリティの網を解除させます。
いわゆる「ClickFix」と呼ばれる手口です
ここだけを見る場合、PamStealerには特に特徴的な部分はないと思えます。
しかし、今回のマルウェアはmacOSの正規のシステム機能であるPAM(Pluggable Authentication Modules)の仕組みを悪用し、「認証エージェント」として振る舞うという新しい技術を導入しています。
ちなみにPAMは、macOSだけでなくLinuxなどのサーバ用OSでもログイン認証の根幹を担っている非常に重要で強力なシステムです。
ハッカーにとって、盗んだパスワードが間違っていたり、大文字小文字の入力ミスだったりすると、後から悪用する際に二度手間になります。
今回のマルウェアは「正しいパスワードが入力されるまで、ポップアップを絶対に閉じずに何度もやり直させる」という仕組みにしたことで、ハッカーは一発でターゲットのmacOSの最高の権限を手に入れることができます。
ユーザに特定の操作をさせる(ClickFix的な)入り口の手口自体は、最近のトレンドの使い回しです。
しかし、「中に入り込んだ後、macOSの認証機能を使ってパスワードの正誤をテストする」という仕組みを採用した点が、このマルウェアの怖いところです。
Fake Mac Clipboard App Delivers New Password-Stealing Malware
https://decrypt.co/372743/fake-mac-clipboard-app-delivers-password-stealing-malware
| この記事をシェア |
|---|