Appleデバイスの管理とセキュリティのリーダーであるMosyleは、9to5Macに対し、「JSCoreRunner」と呼ばれる新たなMacマルウェアの詳細を独占的に明らかにしました。このゼロデイ脅威は発見時点でVirusTotalのすべての検出を回避し、fileripple[.]comと呼ばれる悪意のあるPDF変換サイトを通じて拡散し、ユーザーを騙して一見無害なユーティリティをダウンロードさせようとしていました。

HEICやWebPファイル、PDF、Word文書などのファイル変換を高速化する無料ツールは、フォーマットの互換性問題を素早く回避するための頼みの綱として、オンラインで急増しています。サイバー犯罪者はこの傾向に乗じて、正規のユーティリティを装った偽のウェブサイトを作成し、無防備なユーザーに感染させています。事態は深刻化し、今年初めにはFBIデンバー支局がfileripple[.]comなどのファイル変換サイトからのマルウェアやデータ窃盗のリスク増加について警告を発しました。

場合によっては、ユーザーは感染に気付かないこともあります。Mosyleの調査によると、JSCoreRunnerは2段階で展開されます。最初のインストーラーであるFileRipple.pkgは、実際にPDFコンバーターとして表示され、動作しますが、裏ではユーザーに感染する可能性のある設定を行っています。この最初のパッケージがインストールされると、macOS内の隔離属性がひっそりと削除されました。この隔離属性は、システムが悪意のあるパッケージをフラグ付けし、ダウンロードを阻止できるようにするものです。この隔離属性が無効化されたことで、真のペイロードはSafari14.1.2MojaveAuto.pkgという2番目のインストーラーとして侵入します。このインストーラーは、Appleの署名がないにもかかわらず、Gatekeeperを通過できるようになります。

JSCoreRunnerマルウェアはインストールされると、ユーザーのChromeブラウザを標的とし、検索エンジン設定を不正な検索プロバイダーにデフォルト設定することで乗っ取ります。これにより、ユーザーはキーロガーの不正利用、フィッシングサイトへの検索リダイレクト、悪意のある検索結果の誘導といった被害に遭い、最終的にはあらゆる種類のデータや金銭の盗難に遭う可能性があります。

Mosyle のセキュリティ研究チームの調査結果の詳細については、以下の独占プレスリリースをご覧ください。

プレスリリース

Mosyle、ゼロデイ検出機能を備えた新たなMacマルウェア「JSCoreRunner」を発見

AppleセキュリティのリーディングカンパニーであるMosyleは、「JSCoreRunner」と呼ばれる、新たに高度なMacマルウェア攻撃キャンペーンを特定しました。トロイの木馬/アドウェアとして機能するこの脅威は、偽のPDF変換ウェブサイト「fileripple[.]com」を介して拡散されます。分析時点では、VirusTotalでこのマルウェアは検出されておらず、既存のセキュリティ対策を回避できる「ゼロデイ」脅威とされています。これは、新たな脅威や進化し続ける脅威が次々と出現する中、Mac管理者がセキュリティ対策を常に万全に、かつ積極的に実施することの重要性を浮き彫りにしています。

このマルウェアは2段階のプロセスで動作します。第1段階は「FileRipple.pkg」というパッケージで、正規のPDFツールを装います。この偽装のために、マルウェアは偽のWebビューを作成するプロセスを起動し、正規のPDFツールのプレビューを表示させます。その間、悪意のあるアクティビティはバックグラウンドで静かに実行されます。このパッケージは、Appleによって署名が取り消された開発者によって署名されているため、macOSは起動時にこのパッケージをブロックします。一方、「Safari14.1.2MojaveAuto.pkg」という第2段階は署名されていないため、デフォルトではブロックされません。この第2段階は同じドメインから直接ダウンロードされ、メインの悪意のあるペイロードを実行します。

第2段階が起動すると、システムに感染するための一連のアクションを実行します。まず、コマンド＆コントロールサーバーにインストール確認のリクエストを送信します。次に、実際のユーザーを識別し、アプリケーションの隔離属性を削除し、メインバイナリを実行するためのパスを設定します。

JSCoreRunnerの現時点での主な目的は、ユーザーのウェブブラウザを乗っ取ることです。具体的には、このマルウェアはmacOS上のGoogle Chromeプロファイルを標的とし、~/Library/Application Support/Google/Chrome/フォルダをトラバースしてデフォルトプロファイルと追加プロファイルの両方を特定します。マルウェアは、検索URL、新規タブURL、表示名を定義する新しいTemplateURLオブジェクトを作成することで、検索エンジンの設定を改ざんします。これにより、マルウェアはユーザーを不正な検索エンジンにリダイレクトします。また、検出を回避し、自身の活動を隠蔽するために、クラッシュログと「最後のセッションを復元」バブルを非表示にする引数をChromeに渡します。

この脅威をセキュリティ ツールに追加しようとしている Mac 管理者向けに、Mosyle から次のハッシュが提供されています。

FileRipple.pkg – (第一段階) – 3634d1333e958412814806a5d65f1d82536d94cac21ec44b8aba137921ae3709

ファイルリップル(Mach-O) – 5828ab3abf72c93838a03fb5a9ca271ddbb66ad4b3a950668a22cd8f37ac9b04

ファイルリップル (インストール後) – 6c5e51e7aeb1836d801424f20ffd56734cdc35a75ae3cca88002f94c40949a27

（JSCoreランナー）

Safari14.1.2MojaveAuto.pkg – (第2ステージ) – 23186719325c87eb4e17aae0db502e78fb24598e97c8a9c151d7c347e72c0331

アップデーター(マッハオ) – a7a02c6f5073133added3bfc9c67ca385168ba35469752fcddf5e1ed5fcef1ce

プレインストール – 35c64a2111c0b8e728ee82db3d727319720e612e9a3dfe85d445f5b90fc1485a

インストール後 – 84f8e3f996cf907f71ee4823c1bc91a82589c5e4fcd98a9084e51b02ad3515dd

Javascript（難読化） – a86fe93e1a4c451c11b628f622b80770f40254de4a050bbe8e4caae7ef89dfa4

Mosyleのセキュリティ研究チームによるこの発見は、公証や署名検証といった標準的なセキュリティチェックを回避できる新たな高度な脅威から身を守るために、継続的な監視と多層的なセキュリティアプローチの必要性を浮き彫りにしています。Mac管理者は、ユーザー教育を防御戦略の重要な要素として検討し、検証されていないソースからダウンロードしたソフトウェアには注意するようユーザーに促すべきです。

havebin.com を Google ニュース フィードに追加します。