セキュリティ研究者らは、一般的に海賊版が出回っているmacOSアプリケーションの一部に、新たなマルウェアが潜んでいることを発見しました。インストールされると、これらのアプリケーションはユーザーのMacのバックグラウンドで、トロイの木馬のようなマルウェアを無意識のうちに実行します。この先、何が起こるかは予期せぬものです…。

9to5Mac Security Biteは、Apple統合プラットフォームであるMosyleが独占的に提供しています。Appleデバイスをすぐに使用でき、企業にとって安全なものにすることが私たちの使命です。管理とセキュリティに対する独自の統合アプローチは、完全に自動化された強化とコンプライアンス、次世代EDR、AI搭載ゼロトラスト、独自の権限管理のための最先端のApple固有のセキュリティソリューションと、市場で最も強力で最新のApple MDMを組み合わせています。その結果、完全に自動化されたApple統合プラットフォームが誕生しました。現在45,000を超える組織から信頼されており、何百万台ものAppleデバイスを手間をかけずに手頃な価格ですぐに使用できます。 今 すぐ延長トライアルをリクエストして、MosyleがAppleと連携するために必要なすべてである理由を確認してください。

9to5Macのセキュリティ特集コラム「Security Bite」です。毎週日曜日、Arin Waichulisがデータプライバシーに関する洞察、脆弱性の発見、そして20億台を超えるアクティブデバイスからなるAppleの広大なエコシステムにおける新たな脅威の解明に取り組みます。最新情報を入手し、セキュリティを確保しましょう。

Jamf Threat Labの研究者は、複数の脅威アラートを調査している際に、 .fseventsdという名前の実行ファイルを発見しました。この実行ファイルは、macOSオペレーティングシステムに組み込まれた実際のプロセス名（偶然ではありません）を使用しています。このプロセスは、ファイルやディレクトリの変更を追跡し、Time Machineバックアップなどの機能のためにイベントデータを保存するために使用されています。しかし、.fseventsdは実行ファイルではなく、ネイティブログです。さらに、Jamfは、この疑わしいファイルにAppleが署名していないことを発見しました。

「こうした特徴は往々にして更なる調査を必要とする」と、Jamf Threat Labsは、Ferdous Saljooki氏とJaron Bradley氏が主導した研究に関するブログ投稿で述べている。「VirusTotalを使用することで、この奇妙な.fseventsdバイナリは、元々はより大きなDMGファイルの一部としてアップロードされたことが判明した。」

2人は、FinalShell、Microsoft Remote Desktop Client、Navicat Premium、SecureCRT、UltraEditなど、一般的に海賊版となっているアプリケーションの改変コードを含む5つのディスクイメージ（DMG）ファイルを発見した。

「これらのアプリケーションは、被害者を獲得するために中国の海賊版ウェブサイトにホストされています」とJamfは説明しています。「マルウェアは起動すると、複数のペイロードをバックグラウンドでダウンロードして実行し、被害者のマシンに密かに侵入します。」

表面上はアプリは意図したとおりに見え、動作するかもしれませんが、バックグラウンドではドロッパーが実行され、攻撃者が制御するインフラストラクチャとの通信を確立します。

より高レベルでは、.fseventsdバイナリは3つの悪意あるアクティビティを（この順序で）実行します。まず、悪意のあるdylib（動的ライブラリ）ファイルがロードされます。これは、アプリケーションが起動されるたびに実行されるドロッパーとして機能します。続いて、オープンソースのコマンドアンドコントロール（C2）およびエクスプロイト後ツールであるKhepriを使用するバックドアバイナリのダウンロードと、永続性を確立して追加のペイロードをダウンロードするダウンローダーが実行されます。

Jamfによると、Khepriオープンソースプロジェクトは、攻撃者が被害者のシステムに関する情報を収集したり、ファイルをダウンロード・アップロードしたり、さらにはリモートシェルを開いたりすることを可能にするとのことです。「標的のアプリケーション、改変されたロードコマンド、そして攻撃者のインフラを考えると、このマルウェアはZuRuマルウェアの後継である可能性があります。」

興味深いことに、Khepriバックドアは一時ファイルに潜伏したままなので、被害者のMacが再起動またはシャットダウンするたびに削除されます。しかし、ユーザーが次にアプリケーションを開いたときには、悪意のあるdylibが再び読み込まれます。

自分を守る方法

Jamf社は、この攻撃は主に中国（[.]cnウェブサイト）の被害者を標的にしていると考えていますが、海賊版ソフトウェアに内在する危険性を忘れてはなりません。残念ながら、海賊版アプリをインストールする人の多くは、正規のソフトウェアではないため、セキュリティ警告が表示されることを覚悟しています。そのため、macOS Gatekeeperからのセキュリティ警告を無視し、「インストール」ボタンを素早く押してしまうのです。

さらに、信頼できるウイルス対策ソフトウェアとマルウェア対策ソフトウェアをインストールしてください。この特定のマルウェアは検知されずに侵入する可能性がありますが、Macにさらなる防御層を設けることは常に良い習慣です。

セキュリティとプライバシーの詳細

• AppleのGPUセキュリティ欠陥がiPhone 12とM2 MacBook Airで確認される
• 終わりだ: Flipper Zero は iOS 17.2 搭載の iPhone をクラッシュさせなくなった
• InstagramとFacebookは数千の企業からデータを収集している。CSAM問題

Arinをフォロー: Twitter (X)、LinkedIn、Threads

havebin.com を Google ニュース フィードに追加します。