人気のオープンソースパッケージマネージャ「Homebrew」を装った偽サイトを通じ、macOSユーザーを標的とした情報窃取マルウェア「Amos Stealer」の拡散が確認された。この偽サイトは正規サイトと類似したURLを使用し、Google広告を利用して被害者を誘導する巧妙な手口を採用。
訪問者がインストールコマンドを実行すると、暗号通貨ウォレットやキーチェーン情報などが盗まれる。さらに、このマルウェアは複数のキャンペーンで利用され、偽のGoogle MeetページやGitHubを悪用するなど、その拡散手段が多様化。専門家は、被害を避けるために正規サイトのURL確認を徹底するよう警告している。
偽のHomebrewサイトが仕掛ける巧妙な罠と攻撃手法
今回のマルバタイジングキャンペーンでは、正規のHomebrewサイト「brew.sh」を模倣した「brewe.sh」というURLを用いる巧妙な手法が確認された。ユーザーはGoogle広告を経由して偽サイトにリダイレクトされ、そこに記載されたコマンドを実行することで情報窃取マルウェア「Amos Stealer」に感染する。
この偽サイトは正規サイトとほぼ同一のデザインで構築されており、一見して偽サイトと気づくことが難しい点が攻撃の巧妙さを示している。「Amos Stealer」は暗号通貨ウォレット、キーチェーン情報、システムデータなど幅広い情報を窃取可能であり、その危険性が非常に高い。
このマルウェアは従来から、複数の配布キャンペーンで利用されてきたが、今回のようにオープンソースソフトウェアのユーザーを標的とした事例は、新たな脅威といえる。特に、正規の広告を模倣する手法はGoogleの審査システムをすり抜ける技術力を示唆しており、セキュリティ対策の強化が急務である。
Amos Stealerの過去の活動とその進化
Amos Stealerは、過去にGitHubや偽のGoogle Meetページを悪用したキャンペーンでも確認されている。これらの事例から見えてくるのは、脅威アクターがその手法を進化させ続けている点である。特に、GitHubを利用した攻撃では、開発者を装い信頼性を演出する巧妙な手法が採用された。
また、偽のGoogle Meetページでは、テレワークの普及に伴う需要の高まりを逆手に取る形で攻撃が展開された。今回のHomebrewを利用した攻撃も、同様に特定のターゲット層を狙った戦術として位置づけられる。
オープンソースのユーザーは、通常セキュリティ意識が高いとされるが、それでも誤って感染してしまうケースがある点は警鐘を鳴らすべきポイントである。こうした状況から、セキュリティ専門家は正規サイトのURLやコマンドの確認を徹底する必要性を訴えている。
偽広告の増加が示すセキュリティの課題と今後の展望
偽広告を利用した攻撃手法は、ここ数年で急増している。Malwarebytesの調査によれば、広告主を標的とした攻撃で数千人規模の被害者が出た可能性がある。この問題の背景には、Google広告を含むプラットフォームの審査プロセスの脆弱性があると考えられる。
特に、正規サイトのURLとほぼ同一のリンクを使用することで、ユーザーの判断を迷わせる手口が多用されている点が特徴的だ。今後は、プラットフォーム運営側の審査強化だけでなく、個人レベルでのセキュリティ意識向上も不可欠である。
例えば、URLを細かく確認する習慣や、正規のソースからのみソフトウェアをダウンロードすることが重要となる。また、セキュリティ企業や専門家による情報提供の強化も、被害を防ぐ一助となるだろう。偽広告の根絶は容易ではないが、各種対策の積み重ねが被害の抑制につながると期待される。
Source:SecurityWeek