新たなサイバー攻撃「偽DeepSeekキャンペーン」が確認され、macOSユーザーが標的になっている。攻撃者は、中国発のAIチャットボット「DeepSeek」の人気を悪用し、ユーザーを騙してマルウェアをダウンロードさせている。

感染すると、情報窃取型マルウェア「Poseidon Stealer」が起動し、認証情報やシステムデータ、仮想通貨ウォレット情報などを盗み出す。このマルウェアは、正規アプリを装った悪意のあるファイルとして配布されており、ユーザーは気付かないうちに感染してしまう可能性がある。

攻撃手法としては、改ざんされたWebサイトやフィッシングリンクを介した拡散が確認されている。macOSは安全性が高いと考えられがちだが、今回の攻撃では永続化や暗号化通信など巧妙な手法が使われ、従来のセキュリティ対策では検出が難しくなっている。未知のアプリケーションのダウンロードには細心の注意を払うことが求められる。

偽DeepSeekキャンペーンの手口とmacOSの脆弱性

偽DeepSeekキャンペーンでは、macOSユーザーを標的にするために、正規アプリケーションを装った手口が使われている。攻撃者は改ざんされたWebサイトやフィッシングリンクを利用し、被害者にマルウェアをダウンロードさせる。特に、AIチャットボット「DeepSeek」の人気を利用し、ユーザーの信頼を悪用する形で感染を拡大させている。

感染後、マルウェア「Poseidon Stealer」が起動し、ブラウザに保存された認証情報や仮想通貨ウォレットのデータを盗み出す。さらに、システム情報を取得し、キーロガー機能を用いてユーザーの入力情報を記録することで、さらなる個人情報の窃取を可能にしている。

特にmacOS環境においては、システムの「~/Library/LaunchAgents」ディレクトリに悪意のあるplistファイルを作成することで、永続的な感染を試みるのが特徴的だ。macOSは一般的にセキュリティが強固であるとされるが、今回の攻撃ではシステムプロセスを悪用し、検出を回避する手法が用いられている。

これにより、通常のウイルス対策ソフトでは脅威を見逃す可能性がある。攻撃者は正規のアプリに見せかけることで、ユーザーに疑いを抱かせずに感染させることに成功している。


Poseidon Stealerの特徴と影響

Poseidon Stealerは、macOSを標的とした高度な情報窃取型マルウェアであり、感染したデバイスからさまざまな機密情報を収集することができる。このマルウェアの主な機能は、ブラウザに保存されたパスワードやクレジットカード情報の取得、仮想通貨ウォレットのアクセス情報の窃取、そしてシステム情報の取得だ。

さらに、キーロギング機能を備えており、ユーザーの入力するパスワードや個人情報をリアルタイムで収集することが可能となっている。このマルウェアのもう一つの特徴は、C2(コマンド&コントロール)サーバーを介して攻撃者と通信を行う点にある。

感染デバイスは、「65.20.101.215/p2p」といった特定のアドレスにデータを送信し、攻撃者が情報を受け取る仕組みになっている。また、macOSのplistファイルを改変することで、再起動後もマルウェアが起動し続ける永続化機能を備えている。

このような攻撃手法は、Windows環境では過去にも多数報告されているが、macOS向けにこれほど高度な手口が用いられた例は少ない。これにより、macOSのセキュリティが絶対的に安全とは言い切れないことが改めて浮き彫りとなった。従来の「macOSはウイルスに感染しにくい」という認識が通用しなくなりつつある現状を考慮する必要がある。


macOSユーザーが取るべき対策と今後のリスク

このような攻撃から身を守るためには、macOSユーザー自身が意識的にセキュリティ対策を強化する必要がある。まず、不審なWebサイトからのダウンロードを避け、正規の公式サイトからのみソフトウェアを入手することが重要だ。特に、最近話題のAIツールや新しいアプリケーションを試す際は、信頼できる情報源を確認することが求められる。

また、macOSのシステム設定を定期的にチェックし、「~/Library/LaunchAgents」フォルダ内に不審なplistファイルがないかを確認することも有効な対策となる。加えて、セキュリティソフトを活用し、未知の脅威にも対応できるようにしておくことが望ましい。

今後、攻撃者はさらに巧妙な手法を用いる可能性があり、DeepSeekのような人気ソフトウェアを悪用した偽アプリの増加も懸念される。macOSが安全という固定観念を持たず、最新の脅威に関する情報を継続的に収集しながら対策を講じることが、被害を未然に防ぐ鍵となる。

Source:Cyber Security News