ちょっと難しい内容ですが、とても重要なことが書かれています。
ぜひご参考になさってください:
Macのマルウェア研究者は、絶えず新たなマルウェアのサンプルや亜種に遭遇しています。
最近では、注意すべき2種類のマルウェアのファミリーが感染キャンペーンに新たな亜種を投入したようです。
今回位は、この OSX/WizardUpdate と OSX/Bundlore と呼ばれる新しいMacを狙うマルウェアのファミリーについて、ご説明します。
■ OSX/WizardUpdate
マルウェアというものは、一度登場してそのまま消えていくことはほとんどありません。マルウェアによっては、最初の登場は概念実証(PoC)だけを目的としており、その後に機能を追加したり、自らをカモフラージュする技術を向上させたりして戻ってきます。マルウェアの開発者は、自らのソフトウェアをまず野に放って様子を見て、その結果を基に改良を加えることがあります。
OSX/UpdateAgent は、2020年11月に発見された当初、単純に情報を盗むだけでした。それから若干の変更が加えられたいくつかの亜種があり、ここへ来て新たなトリックを満載したUpdateAgent(別名はWizardUpdate)が登場しました。
最新のサンプルでは、次のような機能を含むいくつかのアップグレードが施されています:
1)クラウドインフラストラクチャから第二のペイロードをダウンロードできます。
2)SQLiteを使いLSQuarantineDataURLStringを列記することで全てのダウンロード履歴を取得します(https://osxdaily.com/2012/07/12/list-download-history-mac-os-x/にあるように約10年前に開発された技術です)。
3)ダウンロードしたペイロードから隔離属性を除去することで Gatekeeper を回避します。
4)PlistBuddy を使ってPLISTファイル(アプリケーションの設定)を変更します。
5)既存のユーザプロフィールを悪用してコマンドを実行します。
6)sudoersリストを変更して一般ユーザに管理者権限を与えます。
下図は、Microsoftが公開した(https://twitter.com/MsftSecIntel/status/1451279679059488773)OSX/WizardUpdateマルウェアファミリーの進化を表した図です:
https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/WizardUpdateEvolution.jpg
検出を避けてシステム感染を維持する新しい技術を使うこの新たな亜種は、まずMicrosoftによって報告されました(https://twitter.com/MsftSecIntel/status/1451279679059488773)。ランダムなウェブサイトでポップアップを表示する通りすがりのインストーラとして拡散されるこの最新の亜種は、偽のFlash Playerインストーラとして発見されました。
Adobe Flash Playerは、何年もかけて徐々に衰退し最終的には2020年12月に提供が終了しています(https://www.intego.com/mac-security-blog/the-history-of-adobe-flash-player-from-multimedia-to-malware/)。Flash Playerが内蔵されていたウェブブラウザは、そのプラグインを除去し、Flashコンテンツを提供していたほとんどのウェブサイトがHTML5や同様の技術に移行しています。Adobeは、ご丁寧にFlash Playerの実行をブロックするための最終アップデートもリリースしました。
しかし残念ながら、多くの人が下図のような悪意を持ったポップアップやメッセージに今でも騙されています:
https://www.intego.com/mac-security-blog/wp-content/uploads/2016/02/flash-out-of-date.jpeg
こうした偽 Flash Player のアップデートメッセージの見た目は、多岐にわたります。そして現時点でも、ユーザに「アップデート」と称した何か別のものをダウンロードさせる一定の効果を上げているようです。OSX/WizardUpdate もそんな「偽アップデート」を使うトロイの木馬の一つです。
OSX/WizardUpdateがシステムにインストールされると、自らが作成した全てのファイル、フォルダ、その他の関連ファイルを除去し、自ら作成したユーザライブラリに隠れ、システムの再起動や移行後も感染し続けられるように.plistファイルを変更します。これは、インストールの際にユーザ自身が管理者パスワードを入力して高いアクセス権を許可したために実現できることです。
ユーザが偽のソフトウェアなのに問題のないソフトウェアだと騙され、迂闊にもインストールに必要なパスワードを入力してしまうことはあり得ることです。ですから、常に使っているソフトウェアをどこから入手したのか注意しなければなりません。ソフトウェアは、可能な限りApp Store あるいは信用のおけるウェブサイトから直接ダウンロードしなければなりません。ソフトウェアのダウンロードやインストールを促すウェブサイトやポップアップからは、ソフトウェアを絶対にインストールしてはいけません。
OSX/WizardUpdateは、さらにペイロードをダウンロードします。現在わかっているペイロードの一つである OSX/Adload の亜種は、ダウンロードされたファイルを信頼できない可能性があるファイルとしてフラグするGatekeeperと呼ばれるmacOSの保護機能をすり抜けようとします。このペイロードファイルから隔離フラグを除去することで、被害者にインストールされるソフトウェアに対する警告が表示されなくなるのです。
下図は、Microsoftが公開した(https://twitter.com/MsftSecIntel/status/1451279684570804234)現状のOSX/WizardUpdateおよびOSX/Adloadのサンプルによる動作を表す図です:
https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/WizardUpdateSteps.png
現時点でわかっているOSX/Adloadペイロードでは、ユーザが訪問したあらゆるウェブサイトに広告が挿入されるようになります(Integoでは、去る8月にOSX/Adloadについて記事を公開しています:
https://www.intego.com/mac-security-blog/osx-adload-mac-malware-apple-missed-for-many-months/)。ただし、OSX/WizardUpdateの洗練性と素早い進化は、いつでも、何でも、インストールすることができる可能性が示唆しています。OSX/WizardUpdateが、絶対に感染したくないマルウェアであることは確かです。
Microsoftは、「その経歴を考えると、このトロイの木馬は洗練され続けるでしょう」としています。であるならば、IntegoのVirusBarrier X9 が提供するような積極的なマルウェア対策でシステムを保護することが本当に重要となります。
VirusBarrierは、WizardUpdateをOSX/WizardUpdate.Hとして、AdloadペイロードをOSX/Adloadとして検出します。
■ OSX/Bundlore
OSX/Bundloreマルウェアドロッパーファミリーは、すでにかなりの期間出回っています。このマルウェアは、ユーザをインストールされるのが問題のないソフトウェアだと騙し、実はマルウェアをインストールするインストーラで構成されます。あるいは、他のソフトウェアと一緒にマルウェアが密かにインストールされることもあります。
最近になって、今更 Flash Playe rインストーラになりすました Bundlore の新たな亜種が見つかりました(https://twitter.com/Confiantintel/status/1451641996800454660)。このインストーラは不可視のヘルパーファイルを読み込みますが、そのヘルパーファイルがqaeqxa[.]pwという危険なドメインからBundloreをダウンロードして実行するシェルスクリプトを読み込みます。
この全ての処理は、その一連の動作と流れをXORを使って難読化しています。XOR(eXclusive OR)は、XORされたデータの解読に鍵が必要なため、技術に詳しくない人からデータを隠すためによく使われる手法です。マルウェアの開発者がデータにXORを二重にかけてデータを解読できる状態に戻す難易度を上げることがありますが、XORは比較的に解読が簡単なのが救いです。
このBundloreドロッパーは、Confiantによって次のスクリーン画像で示されたようなアプローチを採用しています(左の列にある“xor”に注目してください)。
下図は、Confiantが公開した(https://twitter.com/ConfiantIntel/status/1451641996800454660)現状のOSX/Bundloreの亜種がXORを使ってコードを暗号化する動作を表す図です:
https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/Bundlore-XOR.jpg
不可視のヘルパーファイルによって暗号化されたこのシェルスクリプトは、XORによってさらに難読化されていますが、難読化を除去すれば読める状態になり、スクリプトの本来の目的がわかります。
下図は、Confiantが公開した(https://twitter.com/ConfiantIntel/status/1451641996800454660)OSX/Bundloreの亜種が危険なドメインからペイロードを追加でダウンロードすることを表す図です:
https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/Bundlore-XOR-1.jpg
この偽Flash Playerは、“Tadarrius Rashard Campbell (B9L873SNL3)”という開発者証明書で署名され、Appleによって公証されています。残念なことに、AppleがMacを狙うマルウェアを公証することはままあります(https://www.intego.com/mac-security-blog/topic/notarization/)。この発見はAppleにも報告され、このアカウントに関連する証明書はAppleによって速やかに取り消されました。
当然ながら、他のApple開発者IDに切り替えた更なる亜種の登場が予想されます。
弊社が最後に確認した際には、このマルウェアの第二のURLからはOSX/Pirritスパイウェアのインストーラが提供されていました:
https://www.intego.com/mac-security-blog/wp-content/uploads/2021/11/OSX-Pirrit-clt.png
VirusBarrierは、このBundloreの亜種を OSX/Bundlore.BEa として、現時点での第二のマルウェア OSX/Pirrit.clt として検出します。
■ OSX/WizardUpdate、OSX/Bundlore、およびその他の脅威を除去する、あるいはこうした脅威から防御するには、どうしたら良いのでしょうか?
公証、Gatekeeper、XProtect、そしてMRTといったAppleの脅威対策では、ある種の脅威がブロックされないことを考えると、Apple自身がmacOSに施した保護方法が十分でないことが分かります。
関連記事:
Macにアンチウイルスソフトウェアは必要でしょうか?(https://www.intego.com/mac-security-blog/do-macs-need-antivirus-software/)
Intego の
Mac Premium Bundle X9(https://www.act2.com/integostore#mpb)あるいは
Mac Internet Security X9(https://www.act2.com/integostore#mis)に含まれているVirusBarrier X9は、OSX/WizardUpdateおよびOSX/Bundlore、関連マルウェア、そしてあらゆる既知のMacを狙うマルウェアファミリーを検出および駆除することでMacを防御します。
VirusBarrierは、Macの専門家によって開発されており、Appleの保護方法より多くのマルウェアに対応します。
お使いのMacが感染している可能性を疑っているなら、あるいは今後の感染から防御したいなら、信頼できるMac用ソフトウェアの開発元が提供するリアルタイムスキャン(https://www.intego.com/mac-security-blog/why-your-antivirus-needs-real-time-scanning/)が可能なアンチウイルスソフトウェアの導入をお勧めします。
IntegoのVirusBarrier X9なら、M1ネーティブのマルウェア、クロスプラットフォームなマルウェアなどからもMacを保護できます。
Integoは、AV-Comparatives(https://www.av-comparatives.org/tests/mac-security-test-review-2021/#intego)およびAV-TEST(https://www.av-test.org/en/antivirus/home-macos/macos-bigsur/june-2021/intego-virusbarrier-10.9-215205/)という二つの独立系の試験で、Macを狙うマルウェアの検出率100%を記録しています。
補足: 古いMac OS X(macOS)でIntegoのVirusBarrier X8、X7(2013)、あるいはX6を使っているお客様も、こうした脅威から保護されています。しかし、お使いのMacがAppleの最新セキュリティアップデートで常に保護されるためにも、可能な限り最新のVirusBarrierとmacOSにアップグレードすることをお勧めします。
Mac Premium Bundle X9(https://www.act2.com/integostore#mpb)
Mac Internet Security X9(https://www.act2.com/integostore#mis)
文責
Intego | 株式会社アクト・ツー
