「マルコポロ」の旅:自称会議ソフトウェアVortaxがインフォスティーラーを拡散し、悪意のあるmacOSアプリケーションの広範なネットワークを公開

Recorded FutureのInsikt Groupは、仮想会議ソフトウェアとされるVortaxが、Rhadamanthys、Stealc、Atomic macOS Stealer(AMOS)の3つのインフォスティーラーを拡散していることを確認しました。 この大規模なキャンペーンは、暗号通貨ユーザーを標的とし、macOSの脆弱性を悪用します。 脅威アクター「markopolo」が運営するこのキャンペーンは、macOSのセキュリティに大きな影響を与え、AMOS攻撃が増加する可能性があることを示しています。

「マルコポロ」の旅:自称会議ソフトウェアVortaxがインフォスティーラーを拡散し、悪意のあるmacOSアプリケーションの広範なネットワークを公開

Recorded Future Malware Intelligenceのデータを監視している間、Recorded FutureのInsikt Groupは、仮想会議ソフトウェアとされるVortaxが関与する広範なサイバー攻撃キャンペーンを特定しました。 ダウンロードしてインストールすると、VortaxはRhadamanthys、Stealc、Atomic macOS Stealer(AMOS)の3つの強力な情報窃取ツールを提供します。 このキャンペーンは、主に暗号通貨ユーザーを標的としており、macOSのセキュリティ脅威が大幅に増加しており、悪意のあるアプリケーションの広範なネットワークを明らかにしています。

主な調査結果

• Vortaxとその関連アプリケーションは、暗号通貨の盗難を目的とした大規模なキャンペーンで使用されており、macOSユーザーに大きな影響を与えています。 このキャンペーンは、 以前に報告されたWeb3ゲームを標的としたキャンペーンと関連しており、同じ脅威アクター(「markopolo」)が両方の背後にいることを示唆しています。
• markopoloは、共有ホスティングとC2インフラストラクチャを使用して俊敏性を確保し、検出されるとすぐに新たな詐欺にピボットします。
• このキャンペーンは、 クレデンシャルハーベスティングが広範囲に及んでいることを示しており、マルコポロはロシアンマーケットや2easyショップなどのダークウェブショップの初期アクセスブローカーまたは「ログベンダー」として位置付けられる可能性があります。

軽減策

• 感染を防ぐために、AMOSの検出システムが定期的に更新されていることを確認してください。
• 特にソーシャルメディアや検索エンジンから未承認のソフトウェアをダウンロードするリスクについてユーザーを教育します。
• ライセンスのないソフトウェアのダウンロードを防ぐために、厳格なセキュリティ制御を実装します。
• ソーシャルメディアやその他のプラットフォームで遭遇した不審な活動を報告するようユーザーに促します。
• Recorded Futureクライアントは、Recorded Future Malware Intelligenceを使用して、悪意のあるmacOSアプリケーションからの脅威を特定して軽減し、AMOS C2インフラストラクチャへの接続を分析できます。 Recorded Future Network Intelligence と組み合わせることで、AMOS ビルドに関連する悪意のあるドメインと IP アドレスを特定するのに役立ちます。
• Recorded Future Intelligence Cloud、Threat Map、Vulnerability Intelligence、Attack Surface Intelligence のカスタム ウォッチ リストによる監視テクノロジ スタックにより、インフォスティーラーの脅威の可視性が向上します。
• さらに、 Recorded Future Identity Intelligence とBrand Intelligenceは、AMOSインフォスティーラーログ、データベース侵害、コンボリストから侵害された資格情報に関する洞察を提供します。

このキャンペーンは、現代のサイバー脅威の適応性とスケーラビリティを示しています。 macOSマルウェアの需要が高まる中、組織はmacOSセキュリティに対する認識を変え、強固な防御戦略を採用する必要があります。 このような脅威を監視し、軽減することは、安全なデジタル環境を維持する上で非常に重要です。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。