macOSを使っているからといって、サイバー犯罪者の標的から外れているわけではない。危険なパスワード窃取マルウェアの巧妙な新亜種が、感染プロセスの各段階で姿を変えながら活動している。
セキュリティ研究者によれば、このマルウェアは、マイクロソフトを装った「タイポスクワッティング」ドメインに置かれたペイロードを使用する(編注:タイポスクワッティングは、正規ドメイン名に酷似した偽ドメインを取得する手法)。マルウェア本体はアップルのセキュリティアップデートを装って侵入し、Google Software Updateのフォルダー(ディレクトリー)になりすますことで感染したMacへのアクセスを維持するという。
本稿では、最新の「SHub Reaper」による多段階攻撃チェーンについて知っておくべき要点を解説する。
アップルのエコシステムも直面する、セキュリティ上の脅威
現在、マイクロソフトはあまり好ましくない理由でセキュリティ業界の注目を集めている。実際に悪用されているExchange Serverのゼロデイ脆弱性が確認されたほか、怒れるWindowsハッカーが次々と新たな攻撃手段を公開している状況だ。しかしだからといって、macOSユーザーが油断していてよいわけではない。
マイクロソフトのエコシステムに比べて、アップルのエコシステムを採用しているユーザーが直面する活発なセキュリティ脅威の数は確かに少ない。しかしそれは、脅威が皆無であることを意味するわけではない。バックドアを内蔵したAtomic macOS Stealerから、パスワードを狙うInfiniti Stealer、そしてClickFix(ユーザーを騙して悪意のあるコマンドを自ら実行させる手口)の脅威をMacにもたらしたものまで、さまざまな脅威が存在する。
新亜種「SHub Reaper」がターミナルを迂回、macOS Tahoe 26.4の緩和策をすり抜ける
そして今回、上述の脅威に加えて、SHub Reaper(エスハブ・リーパー)という新たなmacOS向け「スティーラー」(情報窃取マルウェア)が登場した。
従来のSHub Reaperは「ClickFix commands to terminal」手法(悪意あるコマンドをユーザーに実行させる手法)を定石としていた。しかしサイバーセキュリティ企業SentinelOneの研究エンジニア、フィル・ストークスによる米国時間5月18日の分析によると、この新亜種は「ターミナルを完全に迂回する配信メカニズムを採用しており、こうした攻撃経路に対するmacOS Tahoe 26.4の緩和策をすり抜ける」という。
ストークスは、Reaperは囮として偽のWeChatおよびMiroのインストーラーを使うことを確認している。しかし注目すべきは、感染チェーンが各段階で姿を変えていく手口だ。
