先月、少なくとも6件のMacマルウェアが発見されました。その中には、macOS Gatekeeperの脆弱性を悪用するマルウェアも含まれています。最新のマルウェア「OSX/CrescentCore」は、セキュリティ研究者の目から逃れるための対策を講じています。

セキュリティ企業の Intego 社は、複数の Web サイトで CrescentCore を発見したと発表しました。これは、ご想像のとおり、Flash Player アップデーターを装っています…

同社はブログ投稿でこの件を報告した。

Integoのチームは、OSX/CrescentCoreが多数のサイトを通じて拡散しているのを確認しています。Macユーザーは、Google検索結果など一見無害に見えるソースからでも、このマルウェアに遭遇する可能性があるため、注意が必要です。

また、上位の Google 検索結果が複数のサイトを経由してリダイレクトされ、最終的に Adob​​e Flash Player を更新する必要があるという派手な警告が表示されるページ (多数のドメインのいずれかでホストされている) に誘導されることも確認されましたが、これは実際にはマルウェア配布サイトです。

同社が指摘しているように、映画、テレビ番組、音楽、書籍の無料版を提供すると主張する怪しいサイトは、マルウェアの極めて一般的な発生源です。

CrescentCoreがセキュリティ研究者から身を隠す方法

CrescentCore は、セキュリティ研究者から自身を隠すために 2 つの手順を実行します。

ユーザーが.dmgディスクイメージを開き、Flash PlayerアイコンのあるPlayerアプリを開くと、トロイの木馬はまず仮想マシン（VM）内で実行されているかどうかを確認します。マルウェアアナリストは、危険なファイルを操作する際に意図せず自分のコンピュータに感染するのを防ぐため、VM内のマルウェアを調査することがよくあります。そのため、マルウェア作成者はVM検出機能を実装し、マルウェアの動作を解析しにくくするために、異なる動作をすることがあります。

OSX/CrescentCore トロイの木馬アプリは、一般的な Mac 用ウイルス対策プログラムがインストールされているかどうかも確認します。

マルウェアは、VM 環境内で実行されているか、マルウェア対策ソフトウェアが存在していると判断した場合は、そのまま終了し、それ以上何も実行しません。

Flash に関しては Intego からのアドバイスに同意します。

2019年には、たとえ正規版であっても、Flash Playerをインストールすべきではありません。AdobeがFlashのサポートを終了したため、ほぼすべてのサイトがFlashの利用を停止しています。Adobeは2020年以降、Flashのセキュリティアップデートをリリースしない予定です。

このマルウェアはAppleによって署名されており、開発者IDは既に同社に報告されていますが、近いうちに新しいIDが使用される可能性が高いです。Appleは、ハッキングされたり悪用されたりした開発者IDを常にモグラ叩きゲームのように扱っています。

havebin.com を Google ニュース フィードに追加します。