Google検索の広告経由でMacに感染して仮想通貨などを奪うマルウェア

TradingViewのWebサイトを装った広告ページ(出典:Malwarebytes)

　アンチマルウェアソフトの開発を手掛ける米Malwarebytesは、Google検索の広告経由でフィッシングサイトに誘導し、Atomic Stealer(AMOS)と呼ばれるマルウェアをダウンロードさせる事象を公式ブログにて紹介し、ユーザーに注意を促している。

　AMOSは、2023年4月に登場した、主に暗号資産を標的とするmacOS用の情報窃取型マルウェア。ブログでは、チャート分析ツール「TradingView」のWebサイトになりすました偽サイトに誘導し、AMOSを含んだファイルをダウンロードさせる事象が紹介されている。

　TradingViewの偽サイトでダウンロードしたファイルには、macOSのソフトウェア「Gatekeeper」をバイパスしてアプリを実行する手順が含まれており、これに従って偽のTradingViewアプリを実行すると、アプリにバンドルされたAMOSにより、Macのユーザーパスワードを入力するまで要求され続けるという。

　パスワードを入力してしまうと、AMOSにより仮想通貨ウォレットなどのデータを含む情報が盗まれる。なお、偽のTradingViewアプリはAdHoc署名が施されているため、パスワードの要求を取り消すことはできないという。

偽のアプリによりユーザーパスワードが要求される様子(出典:Malwarebytes)

AMOSが搾取できるデータの例(出典:Malwarebytes)

　同社はマルウェア対策として、新しいプログラムを実行する前にソースを再確認することを推奨しているほか、新しいアプリを広告経由でダウンロードする際は、公式Webサイトに直接アクセスしなおしてダウンロードするか、サイトの作成時期を確認するなどして広告ページが偽物ではないか確認するよう呼びかけている。