2021年11月30日火曜日

最新マルウェア OSX/WizardUpdate, OSX/Bundlore 対策

さて、今日は、Intego 社のブログからお送りいたします。

ちょっと難しい内容ですが、とても重要なことが書かれています。

ぜひご参考になさってください:

 



Macのマルウェア研究者は、絶えず新たなマルウェアのサンプルや亜種に遭遇しています。

最近では、注意すべき2種類のマルウェアのファミリーが感染キャンペーンに新たな亜種を投入したようです。


今回位は、この OSX/WizardUpdate と OSX/Bundlore と呼ばれる新しいMacを狙うマルウェアのファミリーについて、ご説明します。


■ OSX/WizardUpdate


マルウェアというものは、一度登場してそのまま消えていくことはほとんどありません。マルウェアによっては、最初の登場は概念実証(PoC)だけを目的としており、その後に機能を追加したり、自らをカモフラージュする技術を向上させたりして戻ってきます。マルウェアの開発者は、自らのソフトウェアをまず野に放って様子を見て、その結果を基に改良を加えることがあります。


OSX/UpdateAgent は、2020年11月に発見された当初、単純に情報を盗むだけでした。それから若干の変更が加えられたいくつかの亜種があり、ここへ来て新たなトリックを満載したUpdateAgent(別名はWizardUpdate)が登場しました。


最新のサンプルでは、次のような機能を含むいくつかのアップグレードが施されています:


1)クラウドインフラストラクチャから第二のペイロードをダウンロードできます。


2)SQLiteを使いLSQuarantineDataURLStringを列記することで全てのダウンロード履歴を取得します(https://osxdaily.com/2012/07/12/list-download-history-mac-os-x/にあるように約10年前に開発された技術です)。


3)ダウンロードしたペイロードから隔離属性を除去することで Gatekeeper を回避します。


4)PlistBuddy を使ってPLISTファイル(アプリケーションの設定)を変更します。


5)既存のユーザプロフィールを悪用してコマンドを実行します。


6)sudoersリストを変更して一般ユーザに管理者権限を与えます。


下図は、Microsoftが公開した(https://twitter.com/MsftSecIntel/status/1451279679059488773)OSX/WizardUpdateマルウェアファミリーの進化を表した図です:

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/WizardUpdateEvolution.jpg


検出を避けてシステム感染を維持する新しい技術を使うこの新たな亜種は、まずMicrosoftによって報告されました(https://twitter.com/MsftSecIntel/status/1451279679059488773)。ランダムなウェブサイトでポップアップを表示する通りすがりのインストーラとして拡散されるこの最新の亜種は、偽のFlash Playerインストーラとして発見されました。


Adobe Flash Playerは、何年もかけて徐々に衰退し最終的には2020年12月に提供が終了しています(https://www.intego.com/mac-security-blog/the-history-of-adobe-flash-player-from-multimedia-to-malware/)。Flash Playerが内蔵されていたウェブブラウザは、そのプラグインを除去し、Flashコンテンツを提供していたほとんどのウェブサイトがHTML5や同様の技術に移行しています。Adobeは、ご丁寧にFlash Playerの実行をブロックするための最終アップデートもリリースしました。


しかし残念ながら、多くの人が下図のような悪意を持ったポップアップやメッセージに今でも騙されています:

https://www.intego.com/mac-security-blog/wp-content/uploads/2016/02/flash-out-of-date.jpeg


こうした偽 Flash Player のアップデートメッセージの見た目は、多岐にわたります。そして現時点でも、ユーザに「アップデート」と称した何か別のものをダウンロードさせる一定の効果を上げているようです。OSX/WizardUpdate もそんな「偽アップデート」を使うトロイの木馬の一つです


OSX/WizardUpdateがシステムにインストールされると、自らが作成した全てのファイル、フォルダ、その他の関連ファイルを除去し、自ら作成したユーザライブラリに隠れ、システムの再起動や移行後も感染し続けられるように.plistファイルを変更します。これは、インストールの際にユーザ自身が管理者パスワードを入力して高いアクセス権を許可したために実現できることです。


ユーザが偽のソフトウェアなのに問題のないソフトウェアだと騙され、迂闊にもインストールに必要なパスワードを入力してしまうことはあり得ることです。ですから、常に使っているソフトウェアをどこから入手したのか注意しなければなりません。ソフトウェアは、可能な限りApp Store あるいは信用のおけるウェブサイトから直接ダウンロードしなければなりません。ソフトウェアのダウンロードやインストールを促すウェブサイトやポップアップからは、ソフトウェアを絶対にインストールしてはいけません。


OSX/WizardUpdateは、さらにペイロードをダウンロードします。現在わかっているペイロードの一つである OSX/Adload の亜種は、ダウンロードされたファイルを信頼できない可能性があるファイルとしてフラグするGatekeeperと呼ばれるmacOSの保護機能をすり抜けようとします。このペイロードファイルから隔離フラグを除去することで、被害者にインストールされるソフトウェアに対する警告が表示されなくなるのです。


下図は、Microsoftが公開した(https://twitter.com/MsftSecIntel/status/1451279684570804234)現状のOSX/WizardUpdateおよびOSX/Adloadのサンプルによる動作を表す図です:

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/WizardUpdateSteps.png


現時点でわかっているOSX/Adloadペイロードでは、ユーザが訪問したあらゆるウェブサイトに広告が挿入されるようになります(Integoでは、去る8月にOSX/Adloadについて記事を公開しています:

https://www.intego.com/mac-security-blog/osx-adload-mac-malware-apple-missed-for-many-months/)。ただし、OSX/WizardUpdateの洗練性と素早い進化は、いつでも、何でも、インストールすることができる可能性が示唆しています。OSX/WizardUpdateが、絶対に感染したくないマルウェアであることは確かです


Microsoftは、「その経歴を考えると、このトロイの木馬は洗練され続けるでしょう」としています。であるならば、IntegoのVirusBarrier X9 が提供するような積極的なマルウェア対策でシステムを保護することが本当に重要となります


VirusBarrierは、WizardUpdateをOSX/WizardUpdate.Hとして、AdloadペイロードをOSX/Adloadとして検出します。




■ OSX/Bundlore


OSX/Bundloreマルウェアドロッパーファミリーは、すでにかなりの期間出回っています。このマルウェアは、ユーザをインストールされるのが問題のないソフトウェアだと騙し、実はマルウェアをインストールするインストーラで構成されます。あるいは、他のソフトウェアと一緒にマルウェアが密かにインストールされることもあります。


最近になって、今更 Flash Playe rインストーラになりすました Bundlore の新たな亜種が見つかりました(https://twitter.com/Confiantintel/status/1451641996800454660)。このインストーラは不可視のヘルパーファイルを読み込みますが、そのヘルパーファイルがqaeqxa[.]pwという危険なドメインからBundloreをダウンロードして実行するシェルスクリプトを読み込みます。


この全ての処理は、その一連の動作と流れをXORを使って難読化しています。XOR(eXclusive OR)は、XORされたデータの解読に鍵が必要なため、技術に詳しくない人からデータを隠すためによく使われる手法です。マルウェアの開発者がデータにXORを二重にかけてデータを解読できる状態に戻す難易度を上げることがありますが、XORは比較的に解読が簡単なのが救いです。


このBundloreドロッパーは、Confiantによって次のスクリーン画像で示されたようなアプローチを採用しています(左の列にある“xor”に注目してください)。


下図は、Confiantが公開した(https://twitter.com/ConfiantIntel/status/1451641996800454660)現状のOSX/Bundloreの亜種がXORを使ってコードを暗号化する動作を表す図です:

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/Bundlore-XOR.jpg


不可視のヘルパーファイルによって暗号化されたこのシェルスクリプトは、XORによってさらに難読化されていますが、難読化を除去すれば読める状態になり、スクリプトの本来の目的がわかります。


下図は、Confiantが公開した(https://twitter.com/ConfiantIntel/status/1451641996800454660)OSX/Bundloreの亜種が危険なドメインからペイロードを追加でダウンロードすることを表す図です:

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/Bundlore-XOR-1.jpg


この偽Flash Playerは、“Tadarrius Rashard Campbell (B9L873SNL3)”という開発者証明書で署名され、Appleによって公証されています。残念なことに、AppleがMacを狙うマルウェアを公証することはままあります(https://www.intego.com/mac-security-blog/topic/notarization/)。この発見はAppleにも報告され、このアカウントに関連する証明書はAppleによって速やかに取り消されました。


当然ながら、他のApple開発者IDに切り替えた更なる亜種の登場が予想されます。


弊社が最後に確認した際には、このマルウェアの第二のURLからはOSX/Pirritスパイウェアのインストーラが提供されていました

https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/OSX-Pirrit-clt.png


VirusBarrierは、このBundloreの亜種を OSX/Bundlore.BEa として、現時点での第二のマルウェア OSX/Pirrit.clt として検出します。




■ OSX/WizardUpdate、OSX/Bundlore、およびその他の脅威を除去する、あるいはこうした脅威から防御するには、どうしたら良いのでしょうか?


公証、Gatekeeper、XProtect、そしてMRTといったAppleの脅威対策では、ある種の脅威がブロックされないことを考えると、Apple自身がmacOSに施した保護方法が十分でないことが分かります。



関連記事:

Macにアンチウイルスソフトウェアは必要でしょうか?(https://www.intego.com/mac-security-blog/do-macs-need-antivirus-software/



Intego の

Mac Premium Bundle X9https://www.act2.com/integostore#mpb)あるいは

Mac Internet Security X9https://www.act2.com/integostore#mis)に含まれているVirusBarrier X9は、OSX/WizardUpdateおよびOSX/Bundlore、関連マルウェア、そしてあらゆる既知のMacを狙うマルウェアファミリーを検出および駆除することでMacを防御します。


VirusBarrierは、Macの専門家によって開発されており、Appleの保護方法より多くのマルウェアに対応します



お使いのMacが感染している可能性を疑っているなら、あるいは今後の感染から防御したいなら、信頼できるMac用ソフトウェアの開発元が提供するリアルタイムスキャン(https://www.intego.com/mac-security-blog/why-your-antivirus-needs-real-time-scanning/)が可能なアンチウイルスソフトウェアの導入をお勧めします。


IntegoのVirusBarrier X9なら、M1ネーティブのマルウェア、クロスプラットフォームなマルウェアなどからもMacを保護できます。


Integoは、AV-Comparativeshttps://www.av-comparatives.org/tests/mac-security-test-review-2021/#intego)およびAV-TESThttps://www.av-test.org/en/antivirus/home-macos/macos-bigsur/june-2021/intego-virusbarrier-10.9-215205/)という二つの独立系の試験で、Macを狙うマルウェアの検出率100%を記録しています



補足: 古いMac OS X(macOS)でIntegoのVirusBarrier X8、X7(2013)、あるいはX6を使っているお客様も、こうした脅威から保護されています。しかし、お使いのMacがAppleの最新セキュリティアップデートで常に保護されるためにも、可能な限り最新のVirusBarrierとmacOSにアップグレードすることをお勧めします。


Mac Premium Bundle X9https://www.act2.com/integostore#mpb

Mac Internet Security X9https://www.act2.com/integostore#mis

文責

Intego | 株式会社アクト・ツー


ドキュメント作成の強力な助っ人、それがSnagitです。

こんにちは
いつもact2ブログをご覧いただき、ありがとうございます。


みなさんも日々仕事の場において、さまざまなシチュエーションで、ドキュ
メントを作成しているかと思います。

例えば、社内研修用の資料だったり、お客様へお渡しする説明用のドキュメ
ントだったり、形は違えど、日々様々なドキュメント作成に時間を費やして
いるのではないでしょうか。


その際使用しているツールも恐らく人それぞれで、WordだったりExcelだっ
たりPowerPointだったり、それ以外のツールだったりと、こちらも千差万別
だと思います。


そういったとき、こんなお悩みに遭遇したことはありませんか?


パソコン画面をキャプチャーしたものをドキュメントに貼り付けたいん
 だけど、
もっとカンタン・お手軽にできないの?」


そんな方にオススメなのが、Snagitです。


Snagitを使えば、画面キャプチャーをよりカンタン操作でドキュメントに
貼り付けることができます。

例えば、便利な機能の1つとして、縦に長いページを自動でスクロール・キャ
プチャーしてくれますので、今まで手動で分割してキャプチャーしていた
作業が、1回で自動的に取り込めてしまいます。

また、取り込んだキャプチャー画面に矢印や丸印といった様々な装飾加工
できますので、より説得力のあるドキュメントづくりに活かせます。

他にも、動画取り込み機能や、iOS画面の取り込み機能など、まだまだ豊富な
機能が備わっています。

だからといって、操作方法が難しいということはありません。

直感的な操作方法で、これまで作っていたドキュメント作成時間を一気に
短縮できること間違いなし!

「Snagit」は、あなたのドキュメント作成における、強力な助っ人となるでしょう。


 Snagit(スナグイット)

 https://act2.com/techsmith/snagit


株式会社アクト・ツー
Software Product Team



2021年11月29日月曜日

お気に入りのあの動画、無くなる前にオフライン保存しましょう!

 こんにちは

いつもact2ブログをご覧いただき、ありがとうございます。

みなさんも、数あるyoutube動画の中に、お気に入りの動画データありますよね。

でも、いつでも観られるって油断してると、いきなり閲覧不可能な状態になって
しまった・・・なんてこと一度や二度は経験してませんか?

 

そんなお気に入りの動画を「いつでも」「どこでも」「何回でも」楽しむための
ツール、それがAiryです。

Airyを使って、お気に入り動画を一旦ダウンロードしてしまえば、閲覧不能になる心配
からも開放されます。

ですから、思い立ったらすぐにAiryを使ってダウンロードしてしまいましょう。

 

たくさんのお気に入り動画をダウンロードする時、イチイチURLをコピーしてAiryに
貼り付け・・・となるとちょっと操作が面倒と感じます。

そこで、Airyのブラウザ連携機能を使えば、ブラウザ画面からワンタッチでAiryからの
ダウンロードができてしまいます。

手順はとてもカンタン。

まずはAiryを起動し「ブラウザに組み込む」を選択します。




しばらくしますと、ブラウザが起動し、Airyとの連携用リンク画面が表示されますので、
表示されたURLをブラウザのブックマークに登録します。



これで準備は完了です。

後はYoutubeを開き、お気に入りの動画画面を開いたあと、上記で作成したブックマー
クを開きますと、自動的にAiry側にURL状態が転送されています。

最後にAiryの「ダウンロード」ボタンをクリックすればダウンロードが開始されます。

 

いかがですか?最初にほんの少し設定を加えることで、ダウンロード手順がより
カンタンになります。

Airyを使って、お気に入りの動画データをダウンロードして、いつでもオフライン再生
OKな環境を整え、心ゆくまで動画再生をお楽しみください!

Airy(エアリー)
 https://act2.com/airy2021

株式会社アクト・ツー
Software Product Team



2021年11月26日金曜日

改めまして、最新版TechToolPro14新機能をご紹介


こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。


アクト・ツーのメルマガユーザー様にはすっかりお馴染みのTechToolPro。

Macの進化と共に歩み続けてきたTechToolProも、おかげさまて、バージョン
14となりました。

これまでのIntel Macはもちろんのこと、新しいM1 Macにもネイティブ対応
していますので、全てのMacで安心してお使いいただけます。

今回のバージョンとして新しく追加された機能としては、


・ボリューム初期化機能

・アプリチェック機能

・システムとして起動中のディスクに対する修復機能


が加わりました。


「ボリューム初期化機能」は、TechToolProで、各種ディスクの初期化、フォー
マットが可能となりました。

新しいディスクをMacに接続した際、初期化~ディスク検査までの一連の
作業が、TechToolProだけで完結できるようになりました。


「アプリチェック機能」は、M1 Mac環境において使用するアプリが、M1
環境にネイティブ対応しているかどうかを素早くチェックします。

また、Appleの最新セキュリティ機能に対応しているかどうかもチェック
可能です。

これらの機能により、これから利用予定のアプリが安全・快適に使用できる
かが一目瞭然です。


「システムとして起動中のディスクに対する修復機能」は、今現在ブート
ドライブとして使用しているドライブに対しても、修復を行う事が可能と
なりました。

従来のように、別ドライブより起動し直してからでないと修復できないと
いった、煩わしい手順が不要となり、スピーディーに修復作業が行えます。


TechToolProの進化はまだまだ止まりません!

これまでも、これからも、TechToolProはあなたのMacを万全な状態で
ご利用いただくためのお手伝いをいたします。


株式会社アクト・ツー

Software Product Team



2021年11月25日木曜日

悲劇は突然やってくる・・・そうならないための「転ばぬ先の杖」とは

こんにちは

いつもact2ブログをご覧いただき、ありがとうございます。


Macの根幹部分とも言える、ハードディスクやSSDといったストレージパーツ。

ここには、MacOSをはじめ、皆様がお使いのアプリケーションや、作成されたドキュ

メントなど、大切なデータがたくさん格納されています。

そういった重要なパーツの状態を一目で確認できるスグレモノツール、それが

Lifespan(ライフスパン)です。

このツールで、ハードディスクやSSDの状態をチェックすれば、視覚的にそれらデバ

イスの健康状態が一目瞭然です。

Lifespanを用いて、今自分自身が使っているストレージの寿命などを常にチェック

することで、


・そろそろデータを退避して、ストレージのメンテナンス準備をはじめよう。

・このペースだったら、あと数ヶ月でストレージの寿命がくるかもしれないので、

 ぼちぼち予備のストレージを用意しておこう。


といった計画的なメンテナンススケジュールを立てることもできますので、いきなり

データを失うような事態を避ける目安にもなり、日々安心してMacをご利用

いただけます。

「転ばぬ先の杖」として、Lifespanを是非ご利用ください。


Lifespan(ライフスパン)

 https://www.act2.com/lifespan


株式会社アクト・ツー

Software Product Team




2021年11月24日水曜日

紙のトリセツはもう古い?動画マニュアルなら説得力バツグン!

こんにちは

いつもact2ブログをご覧いただき、ありがとうございます。


Camtajiaを使えばPCの画面キャプチャーした映像を、簡単操作で、高度に

ブラッシュアップできます!


例えば、こんなシチュエーションにいかがでしょう。


「社内研修用資料の作成で、新人社員用に業務アプリの使い方を説明したい。

 でも、PDFや紙ベースの説明書だと、イマイチ操作方法が伝わない・・・」


そんな時Camtajiaを使えば、


(1)業務アプリの画面を動画としてキャプチャー

    

(2)ポイントとなる操作に説明文や矢印といったエフェクトを挿入

    

(3)出来上がった動画をYoutubeにアップロード


これら一連の作業が、なんとCamtjiaのソフト内だけで完結してしまいます!

しかも、操作方法はとても直感的で簡単なんです!


利用シーンはそれだけではありません。

他にも、web会議の記録を残したいが、web会議ツール側で録画できない場合

にも、Camtajiaのキャプチャー機能を使えば、会議記録動画も簡単操作で

残しておくことができます。


業務効率改善ツールとして、Camtajiaを使えば誰でもカンタンに「映える」

動画をアッという間に作成可能です!


Camtajia(カムタジア)

 https://www.act2.com/techsmith/camtasia


株式会社アクト・ツー


 

2021年11月22日月曜日

Youtube動画をもっと自由に楽しむための必須アイテム Airy

こんにちは
いつもact2ブログをご覧いただき、ありがとうございます。

さまざまな動画を楽しむことができる「YouTube」
有名タレントが出演するメジャー志向のコンテツから、超マニアックなコンテンツ
まで、楽しみかたは千差万別、人それぞれだと思います。
星の数ほどあるコンテンツの中から、自分の好きなコンテンツを見つけ、それぞれ
が思い思いの場所で観て・楽しんでいるでしょう。
そんな動画サービスのYouTubeを「もっと便利に」「もっと快適に」活用するた
めのツールが「Airy」です。

たとえば、好きなコンテンツを観ている時、途中でCMなどの広告が入るのって、
なかなか煩わしいものです。
また、いつでも・どこでも・何回でも、自由に再生したいとなれば、自分のパソコ
ンにダウンロードしてオフライン再生したいものです。
こんな時、YouTubeプレミアムに加入すれば、CMなしや自由にダウンロードして
楽しめますが、毎月¥1,180の月額費用が発生してしまいます。
ところが、Airyでしたら、ソフトウェア代金として「¥2,530」だけで、「CM
なしで再生」したり「オフライン再生」が、アッという間にできてしまいます。

例えば、1年間YouTubeプレミアムとAiryを使った場合、

 Youtubeプレミアム・・・¥1,180 × 12ヶ月 → ¥14,160
 Airy・・・¥2,530
  1年での差額・・・¥11,630

これだけの金額差が出てきます。

ちなみに、
 5年だと「¥68,270」
 10年だと「¥139,070」 ← もうパソコンが買えちゃいます・・・

冗談ですが、もうこれだったら、毎年Airyを買ってもらったとしても、十分に
お釣りが来る金額です。

「前から動画のオフライン再生をしたかったんだけど、毎月お金がかかるの
 がねー」
「YouTubePremium Musicとか、YouTubeOriginalsとか、そんな機能
 いらない、CMがなくなってオフライン再生だけできればそれでイイ!」

といった方にオススメのソフト、それが「Airy」です。



*下記2つの注意事項をご確認ください。

1:著作権遵守
 各コンテンツが持つ著作権事項を遵守してください。

2:ダウンロード不可ケースのご理解
 ライブ配信や著作権の規定により、ダウンロードができない場合もあります。

株式会社アクト・ツー