Appleデバイス管理とセキュリティのリーダー企業であるMosyleは、新たなクロスプラットフォームの情報窃取マルウェア「ModStealer」を発見したと発表しました。このマルウェアは、約1か月前にVirusTotalで初めて確認されて以来、主要なウイルス対策エンジンに検出されていないということです。
Mosyleによると、「ModStealer」はmacOSシステムだけでなく、WindowsやLinux環境も標的としており、データを盗むことを目的として設計されているとしています。特に、暗号通貨のウォレット、認証情報、設定情報、証明書の窃取を狙っているということです。
このマルウェアは、開発者を狙った悪意のある求人広告を通じて被害者に配信されているということです。NodeJSで書かれた難読化されたJavaScriptファイルを使用し、シグネチャベースの防御では完全に検出されないとしています。
Mosyleの研究者は、「ModStealer」がクリップボードや画面のキャプチャ、リモートコードの実行が可能であると報告しています。これにより、攻撃者は感染したデバイスをほぼ完全に制御できる可能性があるとしています。
この発見が特に懸念されるのは、「ModStealer」が非常に巧妙に動作し、シグネチャベースの検出をすり抜けることができる点です。macOSでは、Appleの「launchctl」ツールを悪用して「LaunchAgent」として埋め込まれ、長期にわたって検出されない状態を維持しながら、リモートサーバーに機密情報を送信するということです。
Mosyleは、「ModStealer」がマルウェア・アズ・ア・サービス(MaaS)に該当すると考えています。これは、マルウェア開発者が悪意のあるパッケージを作成し、技術力の低いアフィリエイトに販売するビジネスモデルで、特に情報窃取マルウェアの配布で人気が高まっています。
今年初め、Jamfは情報窃取マルウェアが28%増加し、2025年におけるMacマルウェアの主要なタイプになると報告しました。
Mosyleは、セキュリティ専門家や開発者、エンドユーザーに対し、シグネチャベースの保護だけでは不十分であり、継続的な監視や行動ベースの防御、新たな脅威への警戒が必要であると警告しています。