2023年7月19日水曜日

なんと、Macからデータを盗むマルウェアの最新バリエーションが見つかった!




みなさん、こんにちは。(こんばんは、でしょうか?)

今日の内容は、なんと、Macからデータを盗むマルウェアの最新バリエーションが見つかった!というニュースです。



Macを狙う最新のデータスティーラー・マルウェア “ShadowVault”(この記事は基本的に、2023年7月13日にJoshua Long(https://i.r.cbz.jp/cc/pl/kfwb7399/iyw1cymtz3bd/3rrlik86/)によってMac Security Blogに投稿されたShadowVault is the latest Mac data-stealer malware, reportedlyの翻訳です)


ShadowVault は、今週のApple関連プレスを賑わしたMacからデータを盗むマルウェアの最新バリエーションです。この記事では、現時点でわかっていることを紹介します。


■ShadowVaultマルウェアは何をするのか?


2023年6月3日に公開されたShadowVaultは、“macOSスティーラー”マルウェアとされています。犯罪者が月額$500をディストリビュータに支払って利用する、いわゆる「マルウェア・アズ・ア・サービス(MaaS)」として販売されています。


ShadowVaultは、XSS(旧名DaMaGeLaB)と呼ばれるロシア語のサイバー犯罪およびハッキングフォーラムで見つかりました。


このマルウェアの動作を紹介するYouTube動画: https://i.r.cbz.jp/cc/pl/kfwb7399/o2fys6k5k2s0/3rrlik86/
は、6月8日に公開されました{この発見は、macOSセキュリティ研究者であるPhil Stokes氏( https://i.r.cbz.jp/cc/pl/kfwb7399/dyot39z2jqbp/3rrlik86/ )の功績です}。

この動画では、ShadowVaultアプリがMacから様々なデータを取り出し、データダンプをほんの1分ほどでコマンド&コントロール(C&C)サーバに返信する様を見せるとしています。C&C担当者に表示されたそのレポートには、被害者のMacから取り出されたパスワードに加え、Cookie、パスワード、クレジットカード番号、そして暗号通貨ウェレットなどを含む取り出されたとされるデータの概要が含まれているように見えます。


動画では、このマルウェアのロシア語および英語の製品ページへのリンクと共にTelegramチャンネルが記載されています。

https://www.intego.com/mac-security-blog/wp-content/uploads/2023/07/ShadowVault-Telegram-channel.jpg

https://i.r.cbz.jp/cc/pl/kfwb7399/o2fys6k5k2s0/3rrlik86/



■ShadowVaultのTelegramチャンネル

前出の製品ページでは、このマルウェアがmacOSのキーチェーン、Google Chrome、Microsoft Edge、Brave、Opera、VivaldiなどのChromiumを採用するWebブラウザ、そしてFirefoxからパスワードを取り出せるとしています。またShadowVaultが、暗号メッセージアプリであるMac版Telegramからメッセージを抜き出すことを意味すると思われる“Telegram grabbing”ができるとしています( https://i.r.cbz.jp/cc/pl/kfwb7399/pttuk778u0io/3rrlik86/ )。



■ShadowVaultのようなマルウェアからMacを守り、除去する方法

現時点では、ShadowVaultと確実に関連していると言えるサンプルは見つかっていません。Macマルウェアコミュニティ内で声をかけてみましたが、誰も明確なサンプルは持っていませんでした。さらに言えば、このマルウェアが実際に販売された証拠も見つかっていません。

しかし、Integoでは新たに汎用のスティーラーおよびキーチェーンダンプマルウェアを定義ファイルに追加しました。追加された新たな脅威は、実際には一つで同一である可能性が高いでしょう。また、ShadowVault自体が、Macを狙うオープンソースのマルウェアパッケージを基にしたすでに世に出回っているマルウェアの見た目を変更しただけという可能性もあります。

Integoのバンドル製品に含まれているIntego VirusBarrier X9( https://i.r.cbz.jp/cc/pl/kfwb7399/jvv6jz48jqux/3rrlik86/ )は、ShadowVaultのような動作を行うMacを狙うマルウェアを検出して除去できます。Intego製品は、この脅威のコンポーネントをOSX/JokerSpy、Python/JokerSpy、あるいはadware/OSX/Agent.jlejbのような名前で検出します。

お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです( https://i.r.cbz.jp/cc/pl/kfwb7399/j0fwayv4nxhw/3rrlik86/ )。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。


ご注意: 古いバージョンのMac OS XでIntegoのVirusBarrier X8、X7、あるいはX6シリーズをお使いのユーザもこの脅威から保護されます。しかし、お使いのMacをAppleによる最新のセキュリティアップデートで保護するためにも、可能であれば常に最新のVirusBarrierおよびmacOSをお使いください。




■お使いのMacは安全ですか?

Mac用のセキュリティソリューションを検討しているなら、ACT2の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:

https://i.r.cbz.jp/cc/pl/kfwb7399/b0nx40xykmgn/3rrlik86/



コンピュータとマルウェアは、本当に「イタチごっこ」ですが、少なくともコンピュータのアーキテクチャが根本から変わらない限り、永遠に続いていくでしょう。しかし、マルウェア駆逐を諦めるわけにはいきません。ネットを利用する正しい姿勢としてエンドポイント(Mac や PC)には必ず、マルウェア対策ツールをインストールしておきましょう。

ところで、熱中症にはくれぐれもお気をつけくださいね!では、また!
文責
MK



0 件のコメント:

コメントを投稿