GTA6やNotionを装うMac標的マルウェアが発見。その巧妙な手口と自衛策

Rockstar Games開発の超人気シリーズ最新作『Grand Theft Auto VI（GTA6）』は2025年内にリリース予定だが、その名前がフィッシング詐欺に悪用される事例も後を絶たない。

そんななか、Macを標的とした「GTA6」偽装マルウェアが発見され、驚くほど洗練されたレベルに達していると報じられている。

かつて「Macはマルウェアの脅威とは縁遠い」との声もあったが、それはMacの人気が高まるにつれて過去のものとなった。以前は単純に、普及台数が少ないためマルウェア開発者にとってうま味も小さく、狙われにくかったのだろう。

しかし、近年はmacOSを標的としたマルウェアが急増。昨年も新たに21ものマルウェアファミリー（同様の挙動をするものをグループ化）が見つかり、2020年比で50%も増加していた。

ソフトウェア会社MacPawのサイバーセキュリティ部門Moonlockは、新たなPSW（パスワード情報を盗み出すため設計されたもの）の亜種を発見。感染したマシンからログイン名とパスワードを収集し、リモート接続や電子メールにより攻撃者に送りかえすトロイの木馬型マルウェアである。

このマルウェアは、「GTA 6」のコピーやNotionの海賊版を装う。これはソーシャル・エンジニアリングでよく使われる手口で、馴染みある名前を使うことで警戒を解き、ユーザーを騙してマルウェアをダウンロードさせるものだ。

すべてのMacにはセキュリティ機能「macOS Gatekeeper」が組み込まれている。これはApp Store外でダウンロードしたアプリ等を開く際に、信頼できる開発者により署名され、アップルが公証し、改変されていないか確認するしくみだ。

しかしユーザーは、dmgファイルを右クリックして「開く」を選ぶだけでGatekeeperを無効にできる。サイバー犯罪者はそう指示するグラフィックを含めることで、ユーザーを誘導するのである。

そうしてdmgを実行すると、AppleAppという名前の実行ファイルが解き放たれる。その後の動作は、次の通りだ。

ロシア内のIPアドレスから発信された特定のURLへのGETリクエストを開始接続に成功すると、部分的に難読化されたAppleScriptとBashペイロード（Bashスクリプトやコマンドを含むデータ。攻撃者が不正なコマンドを実行させるために使用）のダウンロードを開始このペイロードがファイルシステムを迂回してアプリケーション・メモリから直接実行される

こうして実行されると、悪意ある目的を達成するために様々なアプローチを使う。具体的には次の通りだ。

認証情報のフィッシング

機密データを狙う

システムのプロファイリング

データ流出

特に注目すべきは認証情報のフィッシングだろう。ローカルに保存されたKeychainデータベース（ユーザーのパスワードやアカウント情報、証明書などを保存）には、ユーザーだけが知るシステムパスワードなしにはアクセスできない。

そこでマルウェアは、2つ目の手口を使う。偽のヘルパー・アプリのインストール・ウィンドウを「ゲームの管理のために必要」等と称して開き、ユーザーを騙してパスワードを吐かせるわけだ。

その後は、野放しも同然である。システムディレクトリをくまなく捜し回り、ChromeやFirefox、EdgeなどウェブブラウザのCookieやフォーム履歴、ログイン認証情報、暗号通貨のウォレットも標的にするという。

さらにホームディレクトリ内に秘密のフォルダを作成。ここに収集した機密情報を溜め込んで、サイバー犯罪者が管理する外部サーバーへの発送を待つという流れである。

こうした被害を回避する方法は、次の基本事項をあくまで厳守することだ。

公式のMac App Store以外のものをインストールする前に、十分な注意を払うこと

いかなる場合でも、Gatekeeperを回避する指示に従ってはならない

システムのプロンプトや機密情報の要求には注意する

デバイスとアプリを常に最新の状態に保ち、最新の脅威と脆弱性から保護する

Source: Moonlock
via: 9to5Mac