Fake CleanMyMac ｜ブログ(ほぼこもセキュリティニュース)｜(株)コンステラセキュリティジャパン

CleanMyMacは、不要なファイルやシステムのジャンクデータをワンクリックで削除し、Macの動作を軽く、速くする高機能なメンテナンスアプリです。
ストレージの空き容量確保、マルウェア対策、不要なアプリの完全アンインストール、メモリ解放など、20以上のツールでMacのパフォーマンスを維持します。
本物の場合は、です。
このCleanMyMacの名前を悪用するマルウェアが確認されています。
SHub Stealerです。
名前が示す通り、インフォスティーラー型マルウェアです。
どんな手口なのでしょうか。

入口はそれっぽい名前のWebサイト
本家のソフトウェアは、https://cleanmymac.macpaw.com/で配布されています。
しかし、この脅威アクターは、「cleanmymacos[.]org」というドメインを用意しました。
正規のURLを知っているとそれとは異なるとわかるものといえそうですが、知らないと、逆にそれっぽいと感じるものを使っています。
クリックだけでインストール
偽の配布サイトには「Official Silent Install」と表示された選択肢が配置されています。
このページでは、ターミナルを開き、コマンドを貼り付けてReturnキーを押すように指示されます。
ダウンロードを促す表示、ディスクイメージの入手、セキュリティダイアログといったものは一切表示されません。
この手順に従って文字列をコピーしてターミナルに張り付けて実行すると、マルウェアが展開されます。
はい、ClickFixですね。
インストールは対象者判定後
ClickFixの指示に従ってしまったからといって、必ずマルウェアが展開されるわけではありません。
マルウェアのインストーラーは、実行環境でどのようなキーボードが存在しているかを判定します。
これが想定したもの以外だった場合に、マルウェアが展開されます。
対象者をキーボードの種別で判定する仕組みを搭載しています。
パスワードを要求
マルウェアの展開処理が開始されると、マルウェアインストーラーは、ユーザにパスワードを要求します。
パスワードを要求する表示を行う画面は、いかにも通常のmacOSのシステムプロンプトを模倣したダイアログボックスを表示します。
そして「Required Application Helper. Please enter password for continue.」などと表示します。
被害者がパスワードを入力すると、マルウェアはその妥当性を現地にある標準ツールで確認します。
入力間違いがあったら再度入力を促します。
情報収集と持ち出し
準備が整いました。いよいよ持ち出しが開始されます。
14種類のChromiumベースのWebブラウザに対し、保存されたパスワード、Cookie、自動入力データを盗みます。
Firefoxもあれば同じように収集します。
ブラウザ本体だけでなくブラウザ拡張も検索し、そのなかに暗号資産のウォレットに関するものがあれば、その情報も収集します。
その他の情報も各種収集し、ZIPファイルにまとめて外部に持ち出します。
継続取得される暗号資産ウォレット
侵害環境に暗号資産ウォレットがあるとわかると、それらに対応する新たなマルウェアペイロードを取り込み、継続的な活動を開始します。
現在は5種の暗号資産ウォレットがターゲットとして実装されています。
バックドアの設置
数々の情報収集を実施した後、SHub StealerはLaunchAgentを環境にインストールします。
LaunchAgentはバックドアです。
このバックドアはユーザがログインするたびに実行されるように設置されます。
偽エラーメッセージ
最後の仕上げは、インストール失敗メッセージの表示です。
それはそうです、実行したのはマルウェアの設置のためのコマンドですので、環境にはCleanMyMacはインストールされた状態にはなっていません。
マルウェアはインストール失敗メッセージを表示し、CleanMyMacがインストールされた状態になっていないことが自然なことであることを装います。