MacPawのサイバーセキュリティ部門であるMoonlockは、新たな情報窃取マルウェア「Mac.c」がmacOS市場に影響を与えていると発表しました。このマルウェアは、ロシア発の「mentalpositive」という開発者によって作成され、既存の競合と競い合う形で注目を集めています。
「Mac.c」は、Atomic macOS Stealer(AMOS)やRodrigo4などの既存のマルウェアとコードレベルでの類似性を持ちつつ、高速かつ高影響のデータ抽出に最適化されています。バイナリを削減することで、マルウェアのダウンロードが速くなり、分析時の検出が困難になっているということです。また、更新ごとに増加するURLが確認されており、コマンド・アンド・コントロールインフラストラクチャが大規模な作戦の一部である可能性が示唆されています。
「mentalpositive」は、ウェブベースのインターフェースを通じて「Mac.c」の購入者にカスタムビルドの生成や感染統計の監視、キャンペーンの管理などを提供しています。これにより、XProtectを回避するためのカスタムビルドの生成や、Trezorのシードフレーズをフィッシングするためのモジュールが追加されたとしています。
macOSのマルウェア市場は、Windowsに比べてまだ少ないですが、人気の高まりとともにサイバー犯罪者の関心を集めているということです。特に情報窃取型マルウェアは、アクセスのしやすさや低い参入障壁によって人気が急上昇しています。これに伴い、マルウェア開発者がツールを作成し、技術力の低いアフィリエイトに貸し出す「マルウェア・アズ・ア・サービス(MaaS)」のビジネスモデルが普及しています。
Appleは、Gatekeeperの強化やXProtectによる防御を進めていますが、企業や個人のMacユーザーが被害に遭うケースが増えているということです。情報窃取型マルウェアの人気が高まる中、ユーザーは引き続き警戒が必要です。