
この記事の要点
- Jamf Threat LabsがMac偽アプリ型マルウェア「PamStealer」を確認・公表
- 仮想通貨ウォレットの認証情報も窃取対象、資産流出の危険
偽Macアプリで仮想通貨の認証情報を窃取
macOSのセキュリティ企業Jamf Threat Labsは2026年7月2日、正規のクリップボード管理アプリ「Maccy」を装う新型マルウェア「PamStealer(パムスティーラー)」を確認したと公式ブログで公表しました。
このマルウェアはパスワードやブラウザの保存情報に加え、仮想通貨(暗号資産)ウォレットも標的としており、認証情報が流出した場合は保有資産を失うおそれがあります。
Jamf Threat Labsによると、PamStealerはAppleScriptとRust製の情報窃取ツールを組み合わせた二段階構成を採用しており、macOSの認証基盤を悪用することで従来型のセキュリティ対策を回避しやすい特徴があるとしています。
偽サイトを通じた配布に加え、利用者自身に悪意あるスクリプトを実行させる手口も確認されており、従来のmacOS向け情報窃取型マルウェアとは異なる攻撃手法として警戒が呼びかけられています。
アドレスを狙うマルウェアに警告
PamStealerの侵入経路と検出回避の仕組み
偽アプリサイトで配布、実行操作も誘導
Jamf Threat Labsによると、PamStealerは正規のMaccyプロジェクトを装った偽ドメイン「maccyapp[.]com」から配布されており、利用者が正規アプリと誤認してダウンロードすることで感染が始まります。
配布されるディスクイメージにはコンパイル済みのAppleScript(拡張子.scpt)が含まれており、これを開くとmacOS標準の「Script Editor」が起動し、「⌘+Rで実行」といった案内を表示して利用者自身に悪意あるスクリプトを実行させる仕組みとなっています。
さらに、おとり画面の「Maccy」という文字列には、見た目が酷似したギリシャ文字やキリル文字(ホモグリフ)が組み込まれており、単純な文字列照合による検出を回避する細工も施されているとしています。
Rust製ツールがウォレット情報まで収集
利用者がスクリプトを実行すると、第一段階のAppleScriptが起動し、その内部に組み込まれたJavaScript for Automation(JXA)製ダウンローダーがmacOS標準の通信機能を利用して第二段階となるRust製の情報窃取ツールを取得します。
このダウンローダーは「NSURLSession」やObjective-Cブリッジなどのネイティブ機能を直接利用するため、「curl」や「zsh」などのシェルコマンドを実行せずに動作し、一般的なセキュリティ製品では異常なプロセスとして検知されにくい特徴があると同ラボは説明しています。
続いて実行されるRust製のマルウェアは、macOSの認証基盤PAM(プラガブル認証モジュール)を利用して入力されたログインパスワードをその場で照合し、正しい認証情報だけを抜き取る仕組みを採用しており、この動作が「PamStealer」という名称の由来になったとしています。
窃取の対象はログインパスワードだけでなく、ブラウザの保存データやキーチェーンの認証情報、クリップボードの内容、仮想通貨ウォレットの関連データにも及びます。
攻撃設定にはCPUの種類やタイムゾーンなど端末固有の情報から生成した鍵による暗号化も組み込まれており、解析を妨げる仕組みも確認されています。
気付かせず権限を拡大、資産流出リスク
Jamf Threat Labsによると、PamStealerは未知の脆弱性を突くのではなく、利用者自身にスクリプトを実行させたうえで複数の権限を承認させることで感染を成立させる手口を採用しています。
認証情報を盗み取った後には、Gatekeeper(未署名アプリの実行を制限するmacOSの保護機能)の警告を装った「壊れているためゴミ箱に移動してください」という偽メッセージを表示し、利用者にダウンロードの失敗と誤認させることで感染への気付きを遅らせようとします。
その後はmacOSの標準機能になりすまして再起動後も動作を続け、フルディスクアクセスの許可を得ることでメールやメッセージなど保護領域の情報まで取得しようとするほか、ブラウザやクリップボードからも認証情報を収集するため、ネットワークから切り離したハードウェアウォレットを利用していない場合は仮想通貨資産が流出する危険性も高まるとしています。
macOS狙うマルウェア続出、対策を呼びかけ
macOSを狙う情報窃取型マルウェアは、以前から「Cthulhu Stealer」や「Atomic Stealer」などが確認されており、「Macは安全」という従来の認識だけでは十分な対策にならない状況が続いています。
こうした状況を受け、Jamf Threat Labsはアプリを入手する際には公式サイトや公式ストアなど信頼できる配布元を利用するとともに、インストール中に想定していない管理者パスワードやフルディスクアクセスの許可を求められた場合は安易に承認しないよう呼びかけました。
その背景には、検体ごとに名称や設定を変更できる自動化ビルダーの存在が確認されていることがあり、今後も新たな偽ドメインや亜種が出現する可能性があるとしています。
関連の注目記事はこちら
Source:Jamf Threat Labsブログ
サムネイル:Shutterstockのライセンス許諾により使用






コメント