更新:Apple は調査結果についてコメントしました。記事の末尾をご覧ください。
サイバーセキュリティ企業Jamf Threat Labsは、Final Cut Proの海賊版にMac向けの仮想通貨マイニングマルウェアを発見した。同社によると、このクリプトジャッキングマルウェアは巧妙に隠蔽されており、ほとんどのMacセキュリティアプリでは検出されなかったという。
Jamf はまた、Apple Silicon Mac のパワーにより、クリプトジャッキング (マルウェアがマシンの膨大な処理能力を利用して攻撃者の利益のために暗号通貨を採掘する) の標的としてますます人気が高まっていくだろうと警告しました。
背景
ビットコインなどの暗号通貨のマイニングがますます困難になり、膨大なGPUリソースを必要とするようになるにつれ、悪意のある人物がクリプトジャッキングの手法を用いる動機が高まっています。これは、多数の他人のデバイスにマルウェアを侵入させ、バックグラウンドプロセスとして暗号通貨をマイニングさせる手法です。
海賊版ソフトウェアにマルウェアが含まれていることは珍しくなく、クリプトジャッキングはその中でも特によくある例の一つです。マルウェアはデバイスのリソースを大量に消費し、アプリの実行に必要なリソースを圧迫するため、深刻な懸念事項となっています。
通常、Mac セキュリティ ソフトウェアはこのタイプのマルウェアを検出します。
しかし、Jamf Threat Labs は、当初すべてのMac セキュリティ アプリによる検出を回避した Mac 暗号マイニング マルウェアの例を発見しました。
Jamf Threat Labs は、過去数か月間、以前のバージョンがセキュリティ コミュニティに知られていたにもかかわらず、再び現れ、検出されずに動作しているマルウェア ファミリを追跡してきました。
実環境で確認された脅威検出の定期監視中に、コマンドライン型の仮想通貨マイニングツールであるXMRigの使用を示すアラートに遭遇しました。XMRigは合法的な目的で広く利用されていますが、その適応性に優れたオープンソース設計から、悪意のある攻撃者にも広く利用されています。
この特定のインスタンスは、Appleが開発したビデオ編集ソフトウェア「Final Cut Pro」を装って実行されていたため、私たちにとって興味深いものでした。さらに調査を進めたところ、これはFinal Cut Proの改変された悪意のあるバージョンであり、バックグラウンドでXMRigを実行していたことが判明しました。
発見時点では、この特定のサンプルはVirusTotal上のどのセキュリティベンダーからも悪意のあるものとして検出されていませんでした。少数のベンダーは2023年1月以降、このマルウェアの検出を開始したようですが、悪意を持って改変されたアプリケーションの一部は未だに特定されていません。
情報源は有名なPirate Bayアップローダーで、クラックされたアプリにはPhotoshop、Logic Pro、Final Cut Proなどがある。
マルウェアが巧妙に隠れる方法
マルウェアの検出を逃れるために使われる方法はやや複雑だが、Jamf によれば、最初の 2 世代のものよりはるかに巧妙に偽装されているという。
第一世代は、Launch Daemonのインストールに必要な権限を取得するためにAPIを使用していました。しかし、これにはユーザーからのパスワード確認が必要であり、これはかなり見破られやすいものでした。第二世代ではLaunch Agentに切り替えられ、パスワードは不要になりましたが、ユーザーがアプリを開いたときにのみ実行されるようになりました。第三世代では、マルウェアはより巧妙に巧妙になりました。
ユーザーがFinal Cut Proアイコンをダブルクリックすると、トロイの木馬化された実行ファイルが実行され、シェルコールが開始されてマルウェアのセットアップが実行されます。同じ実行ファイル内には、シェルコールによってデコードされる2つの大きなbase64 blobが含まれています。これらのblobをデコードすると、対応する2つのtarアーカイブが生成されます。
1つにはFinal Cut Proの作業用コピーが含まれています。もう1つのbase64エンコードされたBLOBは、暗号化されたi2pトラフィック(ip2はTORの代替手段です)を処理するためのカスタマイズされた実行ファイルにデコードされます。埋め込まれたデータがbase64からデコードされ、アーカイブが展開されると、結果として得られたコンポーネントは/private/tmp/ディレクトリに隠しファイルとして書き込まれます。
12p実行ファイルを実行すると、セットアップスクリプトはi2p経由のcurlを使用して悪意のある作者のウェブサーバーに接続し、隠蔽マイニングを実行するXMRigコマンドラインコンポーネントをダウンロードします。起動され、ユーザーに表示されるFinal Cut Proのバージョンはこのディレクトリから呼び出され、最終的にディスクから削除されます。
アクティビティモニターからも非表示
このマルウェアには、ユーザーが自分のマシンの動作が遅いことに疑いを持ち、アクティビティ モニターを開いて実行中のプロセスを確認する場合に隠れるという巧妙な方法もあります。
このスクリプトは、実行中のプロセスのリストを3秒ごとにチェックし、アクティビティモニターを探すループを継続的に実行します。アクティビティモニターが見つかった場合、すべての悪意のあるプロセスを直ちに終了します。
さらに、マルウェアのプロセスは Spotlight が使用する正当なプロセスに名前が変更されるため、たとえユーザーがその短い出現に気付いたとしても、警戒する必要はありません。
次回ユーザーが侵害されたアプリを開いたときに、マルウェアが再起動されます。
ベンチュラの継続的な検査は時々役立つ
macOS Venturaでは、Appleはマルウェア対策を大幅に強化しました。当初、Gatekeeperはアプリを初めて起動した時のみチェックし、そのチェックに合格すると安全とマークされていました。
Venturaでは、Gatekeeperはアプリがその後開かれる際に、アプリが改変されていないかどうかを確認します。場合によっては、アプリが破損しているため開けないというエラーメッセージが表示されることがあります。しかし、この時点ではマルウェアは既にインストールされています。
さらに、Jamf は、侵害されたバージョンの Photoshop が Gatekeeper チェックを依然として正常に通過するケースを少なくとも 1 つ発見しました。
同社の取り組みを考えれば当然のことですが、このマルウェア ファミリーの既知のバージョンはすべて Jamf Protect Threat Prevention によって検出され、ブロックされています。
Macマルウェアの増加を予想
Jamf は、M シリーズ Mac のパワーにより、クリププロジャッキング攻撃の非常に魅力的なターゲットとなり、そのため、これまでよりもはるかに多くの Mac マルウェアが出現すると予想されると警告しています。
ちょうど昨日、Malwarebytes は 2023 年のマルウェアの現状レポートを発行しました。このレポートには、最も一般的な Mac マルウェアへのヒントが含まれていました。
Apple 社はこの研究について次のようにコメントしている。
JAMFの調査で指摘された特定の亜種を含むこのマルウェアをブロックするために、XProtectのアップデートを継続しています。また、このマルウェアファミリーはGatekeeperの保護を回避しません。
Mac App Storeは、Mac向けソフトウェアを入手できる最も安全な場所を提供しています。Mac App Store以外からダウンロードされたソフトウェアについては、AppleはApple公証サービスやXProtectといった業界最先端の技術的メカニズムを用いてマルウェアを検出し、実行できないようにブロックすることでユーザーを保護します。
写真: マーク・クルーズ/Unsplash
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
