macOSトロイの木馬がアップグレード：署名付きアプリに偽装して拡散、暗号資産ユーザーはより巧妙なリスクに直面

BlockBeatsの報道によると、12月23日、SlowMistのチーフインフォメーションセキュリティオフィサーである23pdsが投稿し、macOSプラットフォームで活動するMacSync Stealerマルウェアが明らかに進化しており、すでにユーザー資産の盗難が発生していると共有しました。彼が転送した記事によると、初期の「ターミナルへのドラッグ＆ドロップ」や「ClickFix」などの低いハードルの誘導手法から、コード署名とAppleの公証（notarized）を通過したSwiftアプリケーションへとアップグレードされ、隠蔽性が大幅に向上しています。

研究者は、このサンプルがzk-call-messenger-installer-3.9.2-lts.dmgという名前のディスクイメージ形式で拡散されており、インスタントメッセージやツール系アプリケーションを装ってユーザーにダウンロードを誘導していることを発見しました。従来とは異なり、新バージョンはユーザーがターミナル操作を行う必要がなく、内蔵されたSwift補助プログラムがリモートサーバーからエンコードされたスクリプトを取得して実行し、情報窃取プロセスを完了します。

このマルウェアはすでにコード署名され、Appleの公証も通過しており、開発者チームIDはGNJLS3UYZ4です。関連するハッシュは分析時点でAppleによってまだ取り消されていません。これは、デフォルトのmacOSセキュリティメカニズム下でより高い「信頼性」を持ち、ユーザーの警戒を回避しやすいことを意味します。研究では、このDMGファイルのサイズが異常に大きく、LibreOffice関連のPDFなどのおとりファイルが含まれており、疑念をさらに低減するために使われていることも判明しました。

セキュリティ研究者は、この種の情報窃取型トロイの木馬がブラウザデータ、アカウント認証情報、暗号資産ウォレット情報を主なターゲットとしていると指摘しています。マルウェアがAppleの署名および公証メカニズムを体系的に悪用し始める中、macOS環境下での暗号資産ユーザーのフィッシングや秘密鍵漏洩リスクが高まっています。