世界を動かす技術を、日本語で。

Google検索からのMac向けマルウェアの増加

概要

  • GoogleのAI経由で 悪意あるスクリプト へのリンクが再び拡散
  • AMOS (SOMA) スティーラー をMacに感染させる新たなキャンペーン
  • 偽Apple風サイトやMedium記事 経由で誘導
  • ターミナルで 悪意あるコマンド 実行を促す手口
  • 検索結果やリンクの信頼性 を常に疑う必要性

Google AIを利用したAMOSスティーラー感染キャンペーン

  • GoogleのAIが 悪意あるスクリプト へのリンクを再度紹介
  • ClarioのOlenaによる新たな AMOS (SOMA) スティーラー 拡散報告
  • Vladyslav Kolchinのブログで 詳細な手口 を公開
  • docs.google.comやbusiness.google.com、Medium記事から 偽Apple風サイト へ誘導
  • Googleの広告枠で「how to clear cache on macos tahoe」と検索すると 悪質記事 が上位表示
  • MediumのClear Mareksの記事内で ターミナルに貼り付けるコマンド を案内
  • 別のケースでは 公式Appleサポートを装うページ も存在

攻撃の特徴と手口

  • ChatGPT経由の過去攻撃 と手法が酷似
  • コマンドは base-64で難読化、curlでペイロードを取得
  • AMOSスティーラーは 仮想環境でも動作
  • Documentsフォルダの内容を FileGrabberにコピー
  • ホームフォルダ直下に 隠しファイル を作成
    • .agent(AppleScriptで窃盗実行)
    • .mainHelper(メインのMach-Oバイナリ)
    • .pass(平文のパスワード)
  • Notesフォルダへのアクセスも要求
  • 昨年のChatGPT経由攻撃 と同一構成

防御策と注意点

  • 検索エンジンの結果 は必ず疑う姿勢
  • プロモーションされたリンクは 金銭目的 を前提に慎重に判断
  • クリック先の URLの出所と信頼性 を必ず確認
  • Mediumなど 信頼できない記事 は特に注意
  • 信頼できるMac専門サイト の情報のみ参考
  • 短縮URLは必ず展開 して安全性を確認(例:Link Unshortenerアプリ)
  • 解決策を見つけても 内容を鵜呑みにせず批判的に検証
  • ターミナルでコマンドを実行する際は 出所と内容を完全に理解 すること
  • curlやbase-64で 難読化されたスクリプト には特に注意

macOSの保護が突破される理由

  • ユーザー自身が 保護機能を回避 するよう誘導される
  • ターミナルは 無防備なコマンド実行 の温床
  • curlは 検疫属性なし でマルウェア取得を可能に
  • ad hoc署名で 悪意あるコードの実行 が容易化

まとめ

  • GoogleやAIの検索結果 は絶対的に信頼できない現状
  • 情報の出所確認と自己防衛意識 が最重要
  • 安易なコマンド実行やリンククリック は厳禁

Hackerたちの意見

GitHubも https://iboostup.com/blog/ai-fake-repositories-github

少なくともmacOSにはファイルアクセス権限があるよね。

DOSと比べてるの?今どきFATでWin10/11を使ってる人なんていないし、NTFSはアクセス権限やACLがあるからね。

それ、どういう意味?NTFSのファイルアクセス権限(もう35年も前のものだけど)は、1970年代のUnixの権限モデルよりずっと強力だよ。

あなたが言ってるのは[サンドボックス化]の強制アクセス制御のことだよね。[0] WindowsはMACを同じようには実装してなくて、代わりに強制整合性制御を使ってるんだ。[1] WindowsはmacOSや他の多くのUnixよりも、ACLをずっと細かく実装してるよ(Slowarisを除いて)。

https://learn.microsoft.com/en-us/defender-endpoint/enable-c...

こういう攻撃は、ますます一般的になってる「curl | bash」インストール手順のせいで助けられないよね(例えば、新しい「ネイティブ」Claude Codeインストールとか)。ちゃんとHomebrewを使って、文明人らしくインストールしてほしいな!

それに、Homebrewに寄付してあげて、文明人らしくね。

Homebrewもcurl | bashでインストールできるけど、最近は.pkgインストーラーも提供してるよ。

それはあまり役に立たないかもね。もっと悪戯っぽくて、ペーストジャッキングを使うこともあるから、何が起こってるか気づかないかもしれない。デフォルトのbashはブラケットペーストを使わないから、実際のコマンドをコピーしてると思ったら、知らないうちに秘密が送信されちゃうかも。JSを無効にしてブラケットペーストを使わないのが唯一の良い解決策みたい。ところで、OPの記事は変な設定を使ってるけど、なんで「curl | bash」じゃなくて「bash -c "$(curl $(echo qux | base64))"」を使うの?

ホームブリューのタップは、安全性の観点から見ると横移動に過ぎないし、結局はコマンドラインにペーストすることで呼び出されることが多いよね。

もう二度とホームブリューは使わないよ。まだ使ってたMac OSのバージョンのサポートを切ったことに未だに腹が立ってるし、Appleがハードウェアをサポートしなくなったからアップグレードもできなかった。まともなプロジェクトなら、ホームブリューなしでインストールする方法があるべきだよ。ほんとに必要ないから。

Hacker Newsで議論の続きを見る