Mac狙う新型ウイルス「クトゥルフ」｜仮想通貨を標的に

サイバーセキュリティ企業Cado Securityは26日、MacOSユーザーを標的とした新種のマルウェア（悪意のあるソフトウェア）「クトゥルフ・スティーラー（Cthulhu Stealer）」について警告した。

この有害プログラムは、個人情報の窃取や暗号資産（仮想通貨）ウォレットを狙うよう設計されており、ユーザーの資産が危険にさらされる可能性がある。

巧妙化するMacOSを狙った攻撃

Cado Securityの報告によると、MacOSは安全性が高いという評判がある一方で、近年MacOS向けマルウェアが増加傾向にあるという。クトゥルフ・スティーラーは、正規のソフトウェアを装って攻撃を仕掛けてくるため、ユーザーは特に注意が必要だ。

Recently, Cado Security has identified a malware-as-a-service (MaaS) targeting macOS users named “Cthulhu Stealer”. This blog will explore the functionality of this malware and provide insight into how its operators carry out their activities: https://t.co/nJCt6RnUfG

— Cado (@CadoSecurity) August 22, 2024

このマルウェアは、CleanMyMacやAdobe GenPなどの有名ソフトウェアに偽装し、Apple disk image（DMG）の形式でダウンロードを促す。ユーザーがファイルを開くと、MacOSのコマンドラインツールを通じてパスワードの入力を要求される。

仮想通貨ウォレットを標的に

問題のプログラムは、特にイーサリアム（ETH）のウォレットであるMetaMaskを狙っている。初回のパスワード入力後、MetaMask専用の2回目のパスワード入力を求めてくる点が特徴だ。

しかし、攻撃対象はMetaMaskだけではない。Coinbase、Wasabi、Electrum、Atomic、バイナンス、Blockchain Walletなど、人気の高い仮想通貨ウォレットも危険にさらされている。

マルウェアは盗んだデータをテキストファイルに保存し、被害者のシステムの特徴を把握。IPアドレスやOSのバージョンなどの情報も収集する。

Cado Securityのタラ・グールド研究員は、「クトゥルフ・スティーラーの主な機能は、ゲームアカウントを含む様々な保存場所から資格情報や仮想通貨ウォレットを盗むことです」と説明している。

マルウェアの進化と対策

クトゥルフ・スティーラーは、2023年に発見されたAtomic Stealerというマルウェアと類似点があるという。開発者がAtomic Stealerのコードを改変して新たな脅威を生み出した可能性が高い。

この悪質なプログラムは、Telegramを通じて月額500ドル（約7万2千円）で貸し出されており、開発者と利益を分配する仕組みになっていた。しかし、最近では支払いを巡るトラブルから主要な詐欺師が姿を消し、「出口詐欺」の疑いも浮上している。

Appleはこうしたマルウェアへの対策として、MacOSのアップデートを発表。信頼できないアプリケーションの実行を防ぐGatekeeperの保護機能をバイパスしにくくする改良を行った。

仮想通貨ユーザーは、ソフトウェアのダウンロードには細心の注意を払い、不審なファイルは絶対に開かないよう心がけることが重要だ。また、定期的なセキュリティアップデートの適用や、信頼できるセキュリティソフトの利用も効果的な対策となるだろう。