macOS トロイの木馬のアップグレード：署名されたアプリを装って拡散し、暗号化されたユーザーはより隠れたリスクに直面する

慢雾の最高情報セキュリティ責任者 23pds が発信した内容によると、macOS プラットフォームで活発に活動している MacSync Stealer マルウェアが明らかな進化を遂げており、すでにユーザーの資産が盗まれています。

彼が転送した記事では、初期の「ドラッグ＆ドロップ」や「ClickFix」などの低いハードルの誘導手法から、コード署名を行い、Apple の公証（notarized）を通過した Swift アプリケーションにアップグレードされ、隠蔽性が大幅に向上したことが述べられています。研究者たちは、このサンプルが「zk-call-messenger-installer-3.9.2-lts.dmg」という名前のディスクイメージ形式で配布され、即時通信やツール系アプリに偽装してユーザーにダウンロードを促すことを発見しました。従来とは異なり、新しいバージョンはユーザーに端末操作を要求せず、内蔵の Swift 補助プログラムがリモートサーバーからコード化されたスクリプトを取得して実行し、情報窃取プロセスを完了させます。

このマルウェアはコード署名を完了し、Apple の公証を通過しており、開発者チーム ID は GNJLS3UYZ4 です。関連するハッシュは分析時に Apple によって取り消されていませんでした。これは、デフォルトの macOS セキュリティメカニズムの下で「信頼性」が高く、ユーザーの警戒を回避しやすいことを意味します。研究では、この DMG のサイズが異常に大きく、LibreOffice 関連の PDF などの餌ファイルが含まれており、さらなる疑念を減少させるために使用されています。

セキュリティ研究者は、この種の情報窃取トロイの木馬が主にブラウザデータ、アカウント認証情報、暗号財布情報をターゲットにすることを指摘しています。悪意のあるソフトウェアが Apple の署名と公証メカニズムを体系的に悪用し始める中で、暗号資産ユーザーは macOS 環境におけるフィッシングや秘密鍵漏洩のリスクが高まっています。