偽CleanMyMacサイトでは何が起きますか？

A. ターミナル操作を通じてマルウェアが展開されます。

CleanMyMacを装うサイトとして「cleanmymacos[.]org」というドメインが用意されています。そのページには「Official Silent Install」という表示があり、ターミナルでコマンドを実行するよう指示されます。 指示どおりに文字列を貼り付けて実行すると、SHub Stealerというインフォスティーラー型マルウェアが展開されます。

インストーラーは実行環境のキーボード種別を確認し、条件に応じて展開処理を進めます。展開が始まると、macOSのシステムプロンプトを模倣した画面でパスワード入力が求められます。マルウェアはChromium系ブラウザやFirefoxから保存パスワードやCookie、自動入力データなどを収集します。

ブラウザ拡張も確認され、暗号資産ウォレット関連の情報があればあわせて収集され、ZIPにまとめて外部へ送信されます。暗号資産ウォレットが確認されると追加のペイロードが取得され、継続的な活動が始まります。

その後、LaunchAgentを設置してログイン時に実行されるバックドアを残し、最後にインストール失敗メッセージが表示されます。

👉 詳細のブログはこちら