仕事は得られずデータとお金を盗まれる——偽のWeb面接アプリに潜みMacユーザーとWindowsユーザーを狙うスティーラー型トロイの木馬
Hot news | 全てのニュース | ウイルスデータベース
攻撃は、脅威アクターがユーザーに接触し求人案件を紹介するところから始まります。続けて、面接を実施するという名目で、Web会議にアクセスするための「プラットフォーム」へのリンクを提供します。これらのプラットフォームは一見まともなサイトのように見えますがその実は詐欺サイトで、Web会議アプリに偽装した悪意のあるプログラムJobStealerがそこからダウンロードされます。デザインの異なる複数のサイトが用意されており、「アプリ」の名前も違うものになっています。Doctor WebのスペシャリストによってMeetLab、Juseo、Meetix、Carollaなどが特定されているほか、Webexなど実在するサービスの名前が使用されているケースも確認されています。
JobStealerがダウンロードされる偽のWeb会議サービスサイトの例
これらのプラットフォームが本物であるとユーザーに信じ込ませるために、脅威アクターはそれぞれ連携するTelegramチャンネルやソーシャルメディアアカウント(Xなど)も作成しています。
トロイの木馬を正規のアプリであるように見せるため、脅威アクターはソーシャルネットワーク上の存在も作り上げている
サイトでは、macOSデバイスにアプリをインストールするために次の2つの方法のいずれかを選択できるようになっています。
- サイト上のbashコマンドをコピーしてターミナルで実行する
- .dmg形式のディスクイメージファイルをダウンロードして起動する
JobStealerトロイの木馬は、悪意のあるサイトからコンテナ形式のDMGファイルとしてダウンロードされるか、bashコマンドをターミナルで実行することによってダウンロードされる
1つ目の方法では、ターミナルでコマンドが実行されるとスクリプトが自動的にインターネットからダウンロードされて実行されます。このスクリプトがJobStealerの実行ファイル(Mac.PWS.JobStealer.1として検出されます)をダウンロードして実行します。
2つ目の方法では、ダウンロードされるDMGファイルに前述のスクリプトと実行ファイルがすでに含まれています。ユーザーがDMGファイルをマウントするとアプリの「インストール」手順が表示され、ターミナルを開いてDMGファイル内のスクリプトをウィンドウにドラッグするよう指示されます。その結果としてWeb会議アプリがインストールされる代わりに、スクリプトによってトロイの木馬ファイルが実行されます。
JobStealerトロイの木馬を含んだディスクイメージファイルを開いた際に表示される指示
Mac.PWS.JobStealer.1はFat Mach-O形式の実行可能コンテナファイルで、複数のプロセッサアーキテクチャ(x64とarm64)向けのバイナリコードが含まれています。トロイの木馬が起動されると、感染させたコンピューターのプラットフォームに応じてそれぞれのプロセッサに対応したコンポーネントが自動的に起動されます。
ここで、Mac.PWS.JobStealer.1には複数のバージョンが存在するということに触れておく必要があります。初期のバージョンはarm64アーキテクチャのMacコンピューターでは動作できませんでした。また、難読化機能も実装されていませんでしたが、この機能はスティーラーのアップデートに伴って追加され、次第に強化されていきました。
Mac.PWS.JobStealer.1は起動されるとフィッシングウィンドウを開きます。ウィンドウにはアプリの動作にエラーが発生したという偽の警告が表示され、ユーザーはエラーを「修正」するためにMacユーザーアカウントのパスワードを入力するよう促されます。
Macユーザーアカウントのパスワードを入力するよう求めるフィッシングウィンドウ
その後、Mac.PWS.JobStealer.1は以下のデータを収集します。
- OSのバージョンとコンピューターID
- Chromiumベースの標的ブラウザ(Chrome、Opera、Brave、OperaGX、Vivaldi、Edge、Arc、CocCoc)内にインストールされている約300のブラウザ拡張機能型仮想通貨ウォレットのデータ
- 上記ブラウザのCookieファイル
- ブラウザの自動入力リストに保存されているパスワードとバンクカード(クレジットカードやデビットカード)情報
- セッション認証キー、ダウンロードしたファイルなどが保存されているディレクトリ/Library/Application Support/Telegram Desktop/tdataおよび/Documents/temp_data/Apps/TelegramにあるTelegramメッセンジャーファイル
- macOSのネイティブメモアプリ「Notes」のユーザーメモ
- 仮想通貨ウォレットLedger LiveおよびTrezor Suiteがシステムに存在することを示す証拠
これらのデータはZIPアーカイブに圧縮されてC2サーバーにアップロードされます。
JobStealer にはmacOSだけでなくWindowsコンピューター向けのバージョンもあり、その機能はmacOSバージョンとほぼ同じです。さらに、JobStealerを拡散する悪意のあるサイトの中には、その他の主要なOS向けアプリのダウンロードセクションが設けられているものもあります。ただし、現時点ではそれらの配信は確認されていません。たとえば、Linux向けアプリのダウンロードボタンは機能しないか、またはWindowsバージョンのトロイの木馬に誘導されます。iOSデバイスとAndroidデバイス向けアプリのダウンロードセクションには、これらのバージョンは現在開発中であると記載されています。一方で、将来的にはこれらのOS向けトロイの木馬も実際に配信されるようになる可能性も否定できません。
Linux、iOS、Android向けに設計された JobStealerも悪意のあるサイトから拡散されるようになる可能性がある
macOSおよびWindows向け Dr.Web Security Space(アンチウイルス製品)は、JobStealerの既知の亜種すべてを確実に検出・削除します。そのため、この脅威がDr.Webユーザーに危害を及ぼすことはありません。また、JobStealerを拡散する詐欺サイトは危険・非推奨サイトのデータベースに追加されており、これらもまたDr.Webによってブロックされます。
MITRE ATT&CK®
サイバー犯罪者が情報システムに対する攻撃で使用する戦術および技術をマトリックス形式で示すMITRE ATT&CK®フレームワークを用いてMac.PWS.JobStealer.1を分析した結果、以下の主要な攻撃手法が特定されました。
| Stage(段階) | Technique(技術・手法) |
|---|---|
| Execution(実行) |
T1204:User execution(ユーザーによる実行) T1204.004:Malicious Copy and Paste(悪意のあるコピー&ペースト) T1204.002:Malicious File(悪意のあるファイル) |
| Discovery(探索) | T1083:File and Directory Discovery(ファイルとディレクトリの探索) |
| Collection(収集) | T1119:Automated Collection(自動収集) T1005:Data from Local System(ローカルシステム内のデータ) T1555:Credentials from Password Stores(パスワードストア内の認証情報) T1555.001:Keychain(キーチェーン) T1555.003:Credentials from Web Browsers(Webブラウザに保存された認証情報) T1056:Input Capture(入力キャプチャ) T1056.002:GUI Input Capture(GUI入力キャプチャ) T1560:Archive Collected Data(収集したデータのアーカイブ) |
| Command and Control(コマンド・アンド・コントロール) | T1102:Web Service(Webサービス) |
| Exfiltration(情報窃取/盗み出し) | T1020:Automated Exfiltration(自動化された盗み出し) T1041:Exfiltration Over C2 Channel(C2チャネルを介した盗み出し) T1567:Exfiltration Over Web Service(Webサービスを介した盗み出し) |
Mac.PWS.JobStealer.1の詳細 ※英語