ニュース
HOME > ニュース > Gadgetニュース
公開日 2024/04/02 19:31
Gatekeeper無効化の指示には従わないこと
GTA6やNotionを装うMac標的マルウェアが発見。その巧妙な手口と自衛策
多根清史
Rockstar Games開発の超人気シリーズ最新作『Grand Theft Auto VI(GTA6)』は2025年内にリリース予定だが、その名前がフィッシング詐欺に悪用される事例も後を絶たない。
そんななか、Macを標的とした「GTA6」偽装マルウェアが発見され、驚くほど洗練されたレベルに達していると報じられている。
かつて「Macはマルウェアの脅威とは縁遠い」との声もあったが、それはMacの人気が高まるにつれて過去のものとなった。以前は単純に、普及台数が少ないためマルウェア開発者にとってうま味も小さく、狙われにくかったのだろう。
しかし、近年はmacOSを標的としたマルウェアが急増。昨年も新たに21ものマルウェアファミリー(同様の挙動をするものをグループ化)が見つかり、2020年比で50%も増加していた。
ソフトウェア会社MacPawのサイバーセキュリティ部門Moonlockは、新たなPSW(パスワード情報を盗み出すため設計されたもの)の亜種を発見。感染したマシンからログイン名とパスワードを収集し、リモート接続や電子メールにより攻撃者に送りかえすトロイの木馬型マルウェアである。
このマルウェアは、「GTA 6」のコピーやNotionの海賊版を装う。これはソーシャル・エンジニアリングでよく使われる手口で、馴染みある名前を使うことで警戒を解き、ユーザーを騙してマルウェアをダウンロードさせるものだ。
すべてのMacにはセキュリティ機能「macOS Gatekeeper」が組み込まれている。これはApp Store外でダウンロードしたアプリ等を開く際に、信頼できる開発者により署名され、アップルが公証し、改変されていないか確認するしくみだ。
しかしユーザーは、dmgファイルを右クリックして「開く」を選ぶだけでGatekeeperを無効にできる。サイバー犯罪者はそう指示するグラフィックを含めることで、ユーザーを誘導するのである。
そうしてdmgを実行すると、AppleAppという名前の実行ファイルが解き放たれる。その後の動作は、次の通りだ。
ロシア内のIPアドレスから発信された特定のURLへのGETリクエストを開始接続に成功すると、部分的に難読化されたAppleScriptとBashペイロード(Bashスクリプトやコマンドを含むデータ。攻撃者が不正なコマンドを実行させるために使用)のダウンロードを開始このペイロードがファイルシステムを迂回してアプリケーション・メモリから直接実行される
こうして実行されると、悪意ある目的を達成するために様々なアプローチを使う。具体的には次の通りだ。
認証情報のフィッシング
機密データを狙う
システムのプロファイリング
データ流出
特に注目すべきは認証情報のフィッシングだろう。ローカルに保存されたKeychainデータベース(ユーザーのパスワードやアカウント情報、証明書などを保存)には、ユーザーだけが知るシステムパスワードなしにはアクセスできない。
そこでマルウェアは、2つ目の手口を使う。偽のヘルパー・アプリのインストール・ウィンドウを「ゲームの管理のために必要」等と称して開き、ユーザーを騙してパスワードを吐かせるわけだ。
その後は、野放しも同然である。システムディレクトリをくまなく捜し回り、ChromeやFirefox、EdgeなどウェブブラウザのCookieやフォーム履歴、ログイン認証情報、暗号通貨のウォレットも標的にするという。
さらにホームディレクトリ内に秘密のフォルダを作成。ここに収集した機密情報を溜め込んで、サイバー犯罪者が管理する外部サーバーへの発送を待つという流れである。
こうした被害を回避する方法は、次の基本事項をあくまで厳守することだ。
公式のMac App Store以外のものをインストールする前に、十分な注意を払うこと
いかなる場合でも、Gatekeeperを回避する指示に従ってはならない
システムのプロンプトや機密情報の要求には注意する
デバイスとアプリを常に最新の状態に保ち、最新の脅威と脆弱性から保護する
Source: Moonlock
via: 9to5Mac
そんななか、Macを標的とした「GTA6」偽装マルウェアが発見され、驚くほど洗練されたレベルに達していると報じられている。
かつて「Macはマルウェアの脅威とは縁遠い」との声もあったが、それはMacの人気が高まるにつれて過去のものとなった。以前は単純に、普及台数が少ないためマルウェア開発者にとってうま味も小さく、狙われにくかったのだろう。
しかし、近年はmacOSを標的としたマルウェアが急増。昨年も新たに21ものマルウェアファミリー(同様の挙動をするものをグループ化)が見つかり、2020年比で50%も増加していた。
ソフトウェア会社MacPawのサイバーセキュリティ部門Moonlockは、新たなPSW(パスワード情報を盗み出すため設計されたもの)の亜種を発見。感染したマシンからログイン名とパスワードを収集し、リモート接続や電子メールにより攻撃者に送りかえすトロイの木馬型マルウェアである。
このマルウェアは、「GTA 6」のコピーやNotionの海賊版を装う。これはソーシャル・エンジニアリングでよく使われる手口で、馴染みある名前を使うことで警戒を解き、ユーザーを騙してマルウェアをダウンロードさせるものだ。
すべてのMacにはセキュリティ機能「macOS Gatekeeper」が組み込まれている。これはApp Store外でダウンロードしたアプリ等を開く際に、信頼できる開発者により署名され、アップルが公証し、改変されていないか確認するしくみだ。
しかしユーザーは、dmgファイルを右クリックして「開く」を選ぶだけでGatekeeperを無効にできる。サイバー犯罪者はそう指示するグラフィックを含めることで、ユーザーを誘導するのである。
そうしてdmgを実行すると、AppleAppという名前の実行ファイルが解き放たれる。その後の動作は、次の通りだ。
ロシア内のIPアドレスから発信された特定のURLへのGETリクエストを開始接続に成功すると、部分的に難読化されたAppleScriptとBashペイロード(Bashスクリプトやコマンドを含むデータ。攻撃者が不正なコマンドを実行させるために使用)のダウンロードを開始このペイロードがファイルシステムを迂回してアプリケーション・メモリから直接実行される
こうして実行されると、悪意ある目的を達成するために様々なアプローチを使う。具体的には次の通りだ。
認証情報のフィッシング
機密データを狙う
システムのプロファイリング
データ流出
特に注目すべきは認証情報のフィッシングだろう。ローカルに保存されたKeychainデータベース(ユーザーのパスワードやアカウント情報、証明書などを保存)には、ユーザーだけが知るシステムパスワードなしにはアクセスできない。
そこでマルウェアは、2つ目の手口を使う。偽のヘルパー・アプリのインストール・ウィンドウを「ゲームの管理のために必要」等と称して開き、ユーザーを騙してパスワードを吐かせるわけだ。
その後は、野放しも同然である。システムディレクトリをくまなく捜し回り、ChromeやFirefox、EdgeなどウェブブラウザのCookieやフォーム履歴、ログイン認証情報、暗号通貨のウォレットも標的にするという。
さらにホームディレクトリ内に秘密のフォルダを作成。ここに収集した機密情報を溜め込んで、サイバー犯罪者が管理する外部サーバーへの発送を待つという流れである。
こうした被害を回避する方法は、次の基本事項をあくまで厳守することだ。
公式のMac App Store以外のものをインストールする前に、十分な注意を払うこと
いかなる場合でも、Gatekeeperを回避する指示に従ってはならない
システムのプロンプトや機密情報の要求には注意する
デバイスとアプリを常に最新の状態に保ち、最新の脅威と脆弱性から保護する
Source: Moonlock
via: 9to5Mac
- トピック
- Gadget Gate