いつもact2 ブログをご覧いただき、誠にありがとうございます。
今日の内容は、海賊版アプリで見つかった“Honkbox”と呼ばれるMacを狙うクリプトジャッカー(詳細は後述)についてです。
(この記事は、2023年3月9日にJoshua Long(https://www.intego.com/mac-security-blog/author/joshlong/)によってMac Security Blogに投稿されたCryptojacking Mac malware “Honkbox” found in pirated appsの翻訳です)
ここ数週間で、Macを狙うクリプトジャッカーおよびコインマイナーに関する複数の報告が出てきました。ちなみに後述しますが、このトロイの木馬マルウェアをAppleは“Honkbox”と呼んでいます。この記事では、Honkboxについて現時点でわかっている情報を紹介するとともに感染した場合に除去する方法を説明します。
■Honkboxの歴史と見つかった経緯
2022年2月21日と昨年の早い時期にTrend Microの研究者であるLuis Magisa氏が、後にはHonkboxと呼ばれるこのマルウェアについて公には初となる報告を発表しました。Magisa氏は、マルウェアを「最新のMacを狙うコインマイナー」と説明し「オープンソースのバイナリとI2Pネットワークを利用する」としています(仕組みの詳細については、後述します)。
2023年2月23日には、Jamfの研究者達が独自の研究を発表し、そこでこのマルウェアをMac用の海賊版ソフトで見つかった「回避機能を持つクリプトジャッカーマルウェア」と呼んでいます。この報告によると、Jamfはこの研究結果を発表するまでこのマルウェアファミリーの最近の開発状況を数ヶ月に渡り追いかけていたとしています。なお、IntegoもJamfが発表する数ヶ月前から、多くのHonkbox関連のコインマイナーマルウェアを内々に調査していました。
このマルウェアの新しい亜種は、Jamfの定期的な脅威ハンティングの過程で、クロスプラットフォームの暗号通貨マイニングソフトであるXMRigを追加してトロイの木馬化されたAppleのFinal Cut Proの海賊版として発見されました。余談ですが、IntegoではAppleのポリシーに違反する同様のマイニングソフトであるXMR-Stakを使ったMac App Store内のPUAについて以前に書いています( https://www.intego.com/mac-security-blog/unwanted-cryptomining-debuts-briefly-in-mac-app-store/ )。
このマルウェアは、ペイロードのダウンロードや発掘された暗号通貨をマルウェアの開発者に送信するなどの不正なネットワーク処理を隠すためにTorに似た不可視インターネットプロジェクト(Invisible Internet Project、あるいはI2PやI2PD)技術を採用しています。弊社や他の研究者の知る限り、これがI2Pを利用する初めてのMacを狙うマルウェアとなります。ちなみに、I2PDもXMRigもオープンソースのユーティリティです。
Jamfの研究チームはBitTorrentのファイル流通サイトであるThe Pirate Bayのミラーを介して、このマルウェアの世に出回っているサンプルを見つけることができたのです。なお、トロイの木馬化されたFinal Cut Proの海賊版を共有するユーザと同じユーザが、2019年8月から非公式の多くの他のアプリも提供していました。こうしたトロイの木馬の中には、AppleのLogic Pro X、Adobe Photoshop、Adobe Illustrator、Adobe Zii(製品のアクティベーションソフト)、Ableton Live、そしてCleanMyMac Xなどがあります。SentinelOneのPhil Stokes氏は、2019年11月1日のRedditの投稿をHonkboxに感染したユーザが初めて公に助けを求めた投稿だとしています( https://www.reddit.com/r/MacOSBeta/comments/dq39s6/anyone_else_getting_comappleaccnetwork_requesting/ )。
これまでマルウェアの開発者は、主なアンチウイルスソフトによる検出を免れるために、その危険な処理を隠すための次の例のような新たな方法を常に生み出してきました。クリプトマイナーはプロセッサ処理に多大な負荷をかけてコンピュータの動作が遅くなるため、今回のマルウェア開発者はユーザがアクティビティモニタを開いたことを感知する機能を追加しています。マルウェアがアクティビティモニタの起動を感知すると、ユーザにシステム処理速度の低下の原因として察知されないように即座にマイニング処理を停止するのです。さらにユーザがサードパーティのプロセスモニタを使っている場合にも備えて、一目では分からないようなmdworker_local、mdworker_shared、そしてmdworker_watchdというSpotlightの正式なシステムプロセスの名前で偽装しています。
Jamfの報告に続いて、AppleはmacOSに内蔵された基本的な“マルウェア対策”機能であるXProtectにこのマルウェアのシグネチャを追加しました( https://www.intego.com/mac-security-blog/do-macs-need-antivirus-software/#xprotect-applesmalwaredetectionengine )。Stokes氏は、今回のアップデートは Appleがそのシグネチャを最後にアップデートした昨年の11月10日から( https://eclecticlight.co/2022/11/10/apple-has-pushed-updates-to-xprotect-and-xprotect-remediator-4/ )この2月2日( https://eclecticlight.co/2023/02/22/apple-has-released-an-update-to-xprotect/ )の間の3ヶ月と12日ぶりのアップデートだとしています。この間に一度もシグネチャがアップデートされていないことを考えると、やはりMacにはアンチウイルスソフトの導入が必要だと考えられます( https://www.intego.com/mac-security-blog/do-macs-need-antivirus-software/ )。Appleが内蔵する保護機能は最低限で十分とは言えず、またアップデートもほとんどされません。Trend MicroおよびJamfはこのマルウェアに特別な名前を付けませんでしたが、Appleはそのシグネチャでまず“HONKBOX”という名前を使い、それにA、B、およびCというバリエーションを与えました。Stokes氏はHonkboxマルウェアについてさらに調査を続け、3月1日にその結果を発表しました。
■感染したコンピュータでHonkboxが何をするか
Honkboxマルウェアは、トロイの木馬化された海賊版ソフトを使って拡散しています。その目的はマルウェアの開発者のために感染したコンピュータを使って暗号通貨をマイニングさせることのようです。許可なくデバイスを使って暗号通貨をマイニングする、いわゆるクリプトジャッカーは、感染したデバイスの処理を著しく遅くする傾向があります。また、クリプトジャッカーはデバイスを異常に発熱させます。
Honkboxの初期の亜種は、感染したMacが再起動すると自動で再度開くしつこい機能を持っています。最近のHonkboxの亜種は、見つかりにくく、感染したデバイスで海賊版ソフトを開いた時にだけ(あるいは開こうとした時にだけ)再度有効になります。このマルゥエアは、Appleのプロセス名を使ったり、ユーザがシステムの処理速度低下の原因を調べようとしてアクティビティモニタを開いても処理を一時停止するなどして偽装を試みます。
■Honkboxマルウェアの開発者
“wtfisthat34698409672”というThe Pirate Bayのユーザが、このマルウェアを拡散させている一人であることがわかっています。Honkboxの主な目的がマルウェアの開発者のための暗号通貨マイニングだとすると、このユーザがマルウェアの開発者か、開発者と近しい者である可能性が高そうです。
最近のMacを狙うマルウェアの開発者は、最新のmacOSでも正常に動作するようにマルウェアを署名し、かつAppleの公証を取得( https://www.intego.com/mac-security-blog/topic/notarization/ )するようになっています。そして、このマルウェアの亜種に署名しているApple Developer IDの一つは、本名ではないと思いますが“Mucke N.S. Doo”です。
■Honkboxマルウェアについてさらに知っておくべきこと
macOS Venturaでは、悪意を持って改造された(つまりトロイの木馬化された)アプリを実行することは以前より困難です。そのため海賊版ソフトの多くは、macOS Venturaで起動しようとするとエラーになって起動しません。ところが、その裏でマルウェア自体はそっと起動していることがあるのです。ユーザは不審に思うことがあってもマルウェアの存在までは気が回らず、騙されたことに気づく頃には既にシステムでマルウェアが動作しているわけです。
ちなみに、macOS Venturaで海賊版のアプリが署名の確認に失敗した際には、次のようなメッセージが表示されます:
「“Final Cut Pro”は壊れているため開けません。ゴミ箱に入れる必要があります。
このファイルはダウンロードされたものです。ダウンロードされた日は不明です。
(ゴミ箱に入れる) (キャンセル)」
興味深いのは、このマルウェアのBおよびCの亜種では、Macが再起動した際に自身を自動で再度起動するための機能を持っていないことです。マルウェアの開発者は、その代わりにユーザがトロイの木馬化されたアプリを開いた時にだけ自身を自動で再起動する方法を採用しています。いずれにしろ前述のmacOS Venturaでの仕様変更により、Venturaで実行されるこのマルウェアの数は、以前のmacOSのバージョン実行される数より少ないでしょう。
macOS Venturaのユーザにはこうした危険な改造アプリに対して以前より強固な保護が提供されているという事実が、セキュリティのことを考えるなら常に最新バージョンのmacOSを使用するべきである理由の一つです( https://www.intego.com/mac-security-blog/apples-poor-patching-policies-potentially-make-users-security-and-privacy-precarious/ )。
前述の通り、HonkboxがMacでネットワーク通信を隠す不可視インターネットプロジェクト(I2P)を利用する初めてのマルウェアです。Magisa氏は、同様の目的を持つKeRanger and Eleanor(2016)やDok(2017)などのMacを狙うマルウェアではこれまではTor(あるいはTOR、またはThe Onion Router)を採用していたとします。
■Honkboxや他のMacを狙うマルウェアを除去、あるいはマルウェアからの保護
Integoのセキュリティバンドル製品に含まれているIntego VirusBarrier X9は、Macを狙うマルウェアを検出および除去してMacを守ります( https://www.act2.com/intego )。Integoのソフトウェアは、今回のマルウェアの構成要素を「OSX/Honkbox」、「OSX/CoinMiner」、「OSX/Miner」、そして「OSX/Agent」として検出します。
お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネイティブ対応しています。
なお、トレントを使ってソフトウェア(あるいはその他の海賊版コンテンツ)をダウンロードすることは絶対に避けるべきです。トレントサイトがいかにマルウェアの巣窟になっているかについては、過去の記事を参照ください( https://www.intego.com/mac-security-blog/why-bittorrent-sites-are-a-malware-cesspool/ )。
注意: 古いバージョンのMac OS X上でVirusBarrier X8、X7、あるいはX6をお使いのお客様も、この脅威から保護されています。とは言え、お使いのMacにAppleが提供する最新のセキュリティアップデートを適用するためにも、可能であればmacOSを最新の状態にアップグレードし、VirusBarrierも最新バージョンに無償アップグレードすることをお勧めします。
■Honkboxのセキュリティ侵害インジケータ(IoCs)
Magisa氏とStokes氏は、次のファイルパスがHonkboxマルウェアと関連しているとします。ティルダ(~)記号は、例えば /Users/admin のように特定のユーザのホームフォルダを意味します:
~/.i2pd/tunnels.conf
~/.i2pd/tunnels.d
/Library/LaunchDaemons/com.ableton.LiveEventd.plist
/Library/LaunchDaemons/com.apple.acc.installer.v1.plist
/private/tmp/com.apple.acc.installer.v1.plist
/private/tmp/i2pd/._pid
/private/tmp/installv3_md5
/private/tmp/installv3.sh
/private/tmp/lauth
/usr/local/bin/com.apple.acc.installer.v1
/usr/local/bin/com.adobe.acc.localhost
/usr/local/bin/com.adobe.acc.network
/usr/local/bin/liveeventd
/usr/local/bin/liveeventd.sh
/usr/local/bin/livelocalserviced
次の177個のハッシュを持つファイルが、Hankbox関連のマルウェアキャンペーンに関係することがわかっています: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05b7e1864b7b570a339c8072830cdd9bcbf21d1a
0cc8e03a08baa73379ac6c55cbb18fa78b87923d
0e73071ceb9d2481361777b33b8443ec0acb0793
11e4f795551e6db0fe9a9c52eec35f134b089478
11ee7a59ecd287628ff251b435777f6d4429e40c
140790186d0c60a604c5dd9f9d2c8dbc500da1c9
163d9ce53deadd54ad50d7d0120b5db550724689
33d79b8ee94f7bd0a542863cd5a8926d8e0263d9
3a714063188b24f0392c163d7910be00216a5f04
4f0ba59e2ee80ff854bca33944f825d4c8cfe23e
5aae6e00b3ab0b32a8c75a2952674d7665b3f705
5eb0e95aa6cc68ec05103561b02d38d4f69e4980
62ed66c1835ef5558ce713467f837efde508d5e4
699da2b8d35f344121d93a74adf89349d3c8d922
6b987ffc3fd6a2bcfb931426be4118cd943737da
7312b319b84be6bde845b10ea61619c33473f784
7da20852d79f7443b88449e8ed18e092c2aaa3bb
828fb69b80e60de6f6206fd63b496cc0923082f4
8e4dff96e1740764d60fbff8cfae8c673f1a7a3f
901a08aa9996fa95e4a844c24eb7b81da0b52923
90835a1173e9ed414e8240d0e14acb13f73f642f
9e04ca30e6ae20e8d2bbf2772a93145bd4b5b8c6
9e387d79fd6412715a5a4bca02b7e27a08299c4b
a72b548ca570d8c74ed4c465716c4e37328f9bc1
b48927641b53e363d7183fe7faaaa7be8b01cec9
b5dd15e765ed5839a7d2c16c50e6cf3334c4b894
be30f974111ad50312f654db9e040c6ab99d054c
c3d062bc3fa3b4ecfc68e69a7dc26d9e0ac56538
c5b34662f22f35f3995144b24015309bbe318cd9
c64c21d2e08cb8a28e31c4d883a1e75fd1c7851b
c8d230830d0912236c48c31ad11b93707088ce9f
cc9afb9efea37aee31cd74fb064de4b732fb84b3
d4d1c97c5803162e452c79811d61e1487c9cfe62
dfcf0b6af4593f32060176768164702f45cb556b
e857a9c520402ccc6abe3244c1e93ac9e2a6ac3d
eb3a1808bd24026314bec69caadbc882f1976982
ebd417f4ab9e7bb6deaacab9de1611df67908317
ecffd9553c67478a55f7303f6cadf356101f9216
f35bddfbb82ae1b137cbd454bc18f2b859cc5882
上のリストの最初の137個のファイルのハッシュは、SHA-256ハッシュです。対応するすべてのファイルは、c0c4826e513239094c63382b5a726e056ae7f7759abc56bf807748ecfbfbb284としてVirusTotalを介してセキュリティ研究者達に公開されています。
次の40個のより短いSHA-1ハッシュのグループはJamfの報告に含まれていたものですが、この記事執筆時点ではVirusTotalにはありません。
このキャンペーンの一部では、次を含むApple Developer IDが使われています:
MUCKE N.S. DOO (XFQL4XQZYW)
F2P859A6Z6
このマルウェアに関連するコマンド&コントロール(C&C)のドメインおよびIPアドレスには、次が含まれます:
banana.incognet[.]io
download.xxlspeed[.]com
i2p.mooo[.]com
i2p.novg[.]net
i2pseed.creativecowpat[.]net
netdb.i2p2[.]no
reseed-fr.i2pd[.]xyz
reseed.diva[.]exchange
reseed.i2p-projekt[.]de
reseed.i2pgit[.]org
reseed.memcpy[.]io
reseed.onion[.]im
reseed2.i2p[.]net
thepureland[.]io
162.55.188[.]117
167.235.233[.]5
193.168.141[.]107
いくつかのDropbox URLが関連するMacを狙うマルウェアをホストしていると報告されています。これらのURLは、現在では無効になっています:
www.dropbox[.]com/s/1qo9cozv8srnx2x/PureLand%20Launcher.pkg?dl=1
www.dropbox[.]com/s/37vvqyjx6qi43ex/PureLand%20Launcher.pkg?dl=1
www.dropbox[.]com/s/3yivn8j36ramnvg/Pure%20Land%20Launcher.pkg?dl=1
www.dropbox[.]com/s/tmfj1iemicvu6t0/PureLand%20Launcher.pkg?dl=1
ネットワーク管理者はネットワーク内のコンピュータがこうしたドメイン、IP、あるいはURLに接続しようとしていたら感染の可能性があるので、最近のログを調べるべきでしょう。
■Honkboxの別名
AppleがHonkboxと命名するまで、このマルゥエアは単に“CoinMiner”や“Miner”と呼ばれていました。
最近のマルウェアキャンペーンを調べたところ、弊社のマルウェア研究チームがPureLand(あるいはVakksdr Stealer)と呼ばれるクリプトジャッカーマルウェアのファミリーが弊社のHonkboxのシグネチャと一致することを発見しました。そこで弊社ソフトの検出機能を調整し、最近のPureLandサンプルがHonkboxファミリーであると判定するようにしました。上記のSHA-256ハッシュ、ドメイン、IP、そしてURLのリストにもPureLandに関連するものが含まれています(Stokes氏も元々HonkboxとPureLandを関連付けていましたが、Integoがこのレポートを公開した後で撤回しているので、PureLandとHonkboxファミリー間の関係性の可能性には議論のあるところです)。
このマルウェアキャンペーンの構成要素に対する他のメーカの呼称には、ここに挙げたものに限りませんが次のようなものがあります:
OSX/CoinMiner.ACのバリエーション、OSX/CoinMiner.ADのバリエーション、OSX/CoinMiner.Qのバリエーション、OSX/CoinMiner.Wのバリエーション、Application.MAC.Miner.AJB、Coinminer.MacOS.MALXMR.H、Gen:Variant.Trojan.MAC.PureLand.1 (2x)、HackTool.XMRMiner!1.ADCC (CLASSIC)、HEUR:Trojan-Dropper.OSX.Agent.gen、HEUR:Trojan-Dropper.OSX.Agent.m、HEUR:Trojan-Dropper.OSX.Padzer.e、HEUR:Trojan-Dropper.OSX.Padzer.f、HEUR:Trojan-PSW.OSX.Pureland.gen、Honkbox_A, Honkbox_B, Honkbox_C, MacOS:Agent-JM [Trj]、MacOS:Agent-JQ [Trj]、MacOS:Agent-WN [Drp]、MacOS:Agent-XI [Trj]、MACOS.HONKBOX.A、MACOS.HONKBOX.B、MACOS.HONKBOX.C、MacOS/CoinMiner.A、Malware.MacOS-Script.Save.e4825366、Malware.OSX/Agent.ctche、Malware.OSX/Agent.jfggl、Malware.OSX/Agent.zobat、Multios.Coinminer.Miner-6781728-2、OSX_CoinMiner.PFL、OSX.Trojan.Agent.5V7AH3、Osx.Trojan.Coinminer.Bgow, OSX.Trojan.Gen.2, OSX/Agent.CJ, OSX/Agent.G!tr、OSX/Agent.gixtd、OSX/Agent.wguen、OSX/CoinMine-BU、OSX/CoinMine-CS、OSX/CoinMiner.bdmlu、OSX/CoinMiner.ext、OSX/CoinMiner.pjtut、OSX/CoinMiner.qfokr、OSX/Honkbox.ext、OSX/Miner.AC!tr、OSX/Miner.gen、OSX/Miner.qt、OSX/Miner.shell、Other:Malware-gen [Trj]、Password-Stealer (0040f1771)、PUA.MacOS.PURPLEPROXY.MANP、PUA.MacOS.PURPLEPROXY.MSGEM20、RDN/Generic.osx、Riskware/Application!OSX、Script.Trojan.A7586096、TROJ_FRS.0NA103BM22、TROJ_FRS.0NA104A223、Trojan (0040f28a1)、Trojan:MacOS/Multiverze、Trojan:MacOS/SAgent!MTB、trojan:OSX/Honkbox.ext、trojan:OSX/PureLand.ext、Trojan.CoinMiner.OSX.44、Trojan.Generic.D3056588、Trojan.Generic.D3EB7491、Trojan.GenericKD.50685320、Trojan.GenericKD.65762449、Trojan.I2pdMiner/OSX!1.D989、Trojan.MAC.Generic.111680、Trojan.MAC.Generic.111683、Trojan.MAC.Generic.111728、Trojan.MAC.Generic.111730、Trojan.MAC.Generic.11970、Trojan.MAC.Generic.D1B440、Trojan.MAC.Generic.D1B443、Trojan.MAC.Generic.D1B470、Trojan.MAC.Generic.D2EC2、Trojan.MAC.Miner.AF、Trojan.MAC.Miner.AS、Trojan.MAC.Miner.AT、Trojan.MacOS.PADZER.MANP、Trojan.MacOS.PADZER.MSMEK20、Trojan.MacOS.PADZER.MSMH321、Trojan.MacOS.PADZER.RSMSMEL20、Trojan.Malware.121218.susgen、Trojan.OSX.Agent.4!c、Trojan.OSX.Coinminer、Trojan.OSX.Generic.4!c、Trojan.Shell.Agent.cp、Trojan.Shell.Agent.CQ、Trojan.Win32.SHELL.VSNW05C23、Trojan/Bash.Generic.SC186845、Trojan/OSX.CoinMiner
■お使いのMacは安全ですか?
Mac用のセキュリティソリューションを検討しているなら、act2.com の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:
いよいよ桜満開の時期になりました。
しかし私は相変わらず、花粉症に悩まされ、泣きながらこれを書いています....
皆様、どうか、ご健康に十分ご留意されて、新しい季節に向かいましょう!
いつもありがとうございます。
株式会社アクト・ツー
Software Product Team