この内容は、詳細が不明なMacを狙うマルウェア、iWebUpdateが見つかったのですが、どうもすでに約5年前から出回っていたようなのです。
(この記事は、2023年2月24日にJoshua Long(https://www.intego.com/mac-security-blog/author/joshlong/)によってMac Security Blogに投稿されたMysterious Mac malware iWebUpdate discovered; is 5 years oldの翻訳です)
このバレンタインデーに、iWebUpdateと呼ばれる詳細が不明なマルウェアが見つかりました。このマルウェアの最も不思議な点は、2018年8月から4年半に渡りMacに感染し続けていたらしいのに今まで見つからなかったということです。
このマルウェアについて分かっていることを紹介してから、感染したらシステムから除去する方法について説明します。
■iWebUpdateの発見
独立系のMacセキュリティ研究者であるPatrick Wardle氏は、「Macには、未知のマルウェアが存在しているはずだ」という持論を証明するための証拠を探していました。バレンタインデーの早朝に、Wardle氏はこの考えを証明するマルウェアのサンプルを見つけて分析したとブログに投稿しました。彼は、そのサンプルはVirusTotalでの検出率が0%だったにも関わらず、探し出してから10分足らずで見つけることができたと言っています。
ちなみに、VirusTotalは誰でも感染している可能性があるファイルをアップロードして約60種類の異なるアンチウイルスエンジンを試すことで危険かどうかを判断できるサービスです。同時にマルウェア研究者は、アップロードされたファイルを様々な条件でフィルタリングしてマルウェアの可能性があるサンプルを探すことができます。
VirusTotalにあるデータによると、Wardle氏が分析したiWebUpdateファイルは2018年9月23日に不明な国から初めてアップロードされましたが、それから合計で3回アップロードされています。最初にアップロードした人が感染者だったのか、マルウェアの開発者がよくやるようにアンチウイルスエンジンによって検出されるかを調べるために試験用マシンからサンプルをアップロードしたのかまでは分かっていません。その後、2019年11月7日にルーマニアから、2023年2月10日に米国から同じファイルが2回アップロードされています。直近のアップロードが、Wardle氏の注意を引いたものです。
しかし、興味深いのはこれまでにアップロードされた回数ではなく、アップロードを経ずにアンチウイルスエンジンによって再スキャンおよび再分析のために再提出された回数なのです。何年にも渡り複数の人が同じファイルをアップロードしようとしてVirusTotalに全く同じファイルが既に登録されていることを通知され、その対応として最新の定義ファイルを使ったアンチウイルスエンジンでの再スキャンをVirusTtoalに依頼しているのです。そしてVirusTotalに最初のアップロードを含め17の異なるファイルパスが記録されている事実が、実際に感染したマシンが存在することを示唆しています。ファイルは、初めてアップロードされてからWardle氏が発見するまで20回ほどスキャンされています。そして再スキャンの回数は2021年4月で急に少なくなり、2022年には1回しかスキャンされていません。
これは、ファイルが2018年後半から2021年初頭にかけて広く拡散した可能性があることを意味します。なお、VirusTtoalへのファイルのアップロードは、ユーザが使っているMacのファイルシステムを自ら調べて不審なファイルを見つけ、VirusTotalにアップロードしていることに注意してください — 平均的なMacユーザなら、そんな面倒なことはしないし、できないでしょう。
■感染するとiWebUpdateは何をするのか?
iWebUpdateマルウェアによる感染は、感染したMacに基礎となる足場を築く第一段階の感染だと考えられます。まずは、感染したMacが再起動する度にバックグラウンドで自動的に読み込まれるように自らをシステムにインストールします。
次に感染したMacのオペレーティングシステム情報を取得し、Macの機種の情報も取得しようと試みてから、iwebservicescloud[.]comのような名前でリモートサーバからMacに侵入しようとします。その後、追加のペイロードをダウンロードしようとします。ただし、このマルウェアが最初に世に出た時と同じコマンド&コントロールシステムには、既にそのサーバが対応しないことから第二段階のペイロードが何をするのかまではもう判断できません。
■iWebUpdateの作者
コードやサーバは再利用されることがありますし、様々な要因が絡むため特定のマルウェアの開発と拡散に既知の脅威の関係者が関係するかを判定するのは極めて困難です。
Wardle氏は、このマルウェアの活動期間内の一時期にiwebservicescloud[.]comが解決していた以前のIPアドレスの一つについて興味深いことを書いています。そのIPアドレス、185.181.104[.]82は、Lazarus GroupによるMacを狙うマルウェアに関するCISAレポートに登場し、さらに言えばOperation AppleJeus( https://www.intego.com/mac-security-blog/operation-applejeus-and-osxlazarus-rise-of-a-mac-apt/ )ではIPアドレスがcelasllc[.]comに解決しているのです。必ずしも同じ脅威の開発者との関係を示すわけではありませんが、これがiWebUpdateの起源に関する回答である可能性はあります。
VirusTotalは、Genieo系の特定のマルウェアサンプルがiWebUpdateマルウェアの“execution parent”(VirusTotalがファイルの関係性を表す際に親ファイルの関係にあるとするファイル)であるとしています( https://www.virustotal.com/gui/file/4eaa4caea4ac543516ffc9954a901e8b8e8c623fcce48304ea74d7a74218683b/detection )。
■iWebUpdateマルウェアについて知っておくべきこと
このマルウェアが、ARMベースのAppleシリコンプロセッサが発表された2018年より前に開発されたとすると( https://support.apple.com/en-us/HT211861 )、マルウェアのコードはIntelプロセッサで実行するように設計されているはずです。ただし、今も多くのMacがRosetta 2 Intelエミュレーション機能をインストールしているわけで、M1あるいはM2チップを搭載した多くのMacでもエミュレーションを利用して正常に動作する可能性が高いです。
今日の多くのMacを狙うマルウェアと異なり、iWebUpdateはAppleが発行した開発者証明で著名されていません。このマルウェアはAppleのソフトウェア公証プロセスが導入された2019年以前に開発されていますから、公証もされていません( https://developer.apple.com/documentation/security/notarizing_macos_software_before_distribution )。公証はMacを狙うマルウェアを減らすための対策の一つですが、Appleによって公証されたMacを狙うマルウェアも多くあることを考えると、それほど強力な対策とは言えません( https://www.intego.com/mac-security-blog/topic/notarization/ )。
前述の通り、iWebUpdateは感染したMacの機種を特定しようとします。ところが、iWebUpdateがMacの機種を特定するために使うシェルコードにはバグがあります。場合によっては、このコードが感染したMacを正しく特定することもありますが、そのMacのセットアップ時に別のMacからデータが移行されている場合は正しく判定できません。そのような場合、iWebUpdateは感染したMacをオリジナルのMacだと間違って特定します。マルウェアは、次のコードを使っています:
echo $(defaults read ~/Library/Preferences/com.apple.SystemProfiler.plist 'CPU Names') | cut -d'"' -f4
しかし、感染したMacを正しく特定するコードは、次のようなものでしょう:
echo $(defaults read ~/Library/Preferences/com.apple.SystemProfiler.plist 'CPU Names' | cut -sd '"' -f 4 | tail -n 1)
iWebが2006年から2011年までiLifeの一部としてAppleから提供されていたウェブページを開発するソフトウェアの名前であることも、興味深い点でしょう。iWebUpdateマルウェアのファイル名とドメインには、Appleの公式ソフトウェアに偽装する意図があった可能性が考えられます。
■iWebUpdateや他のMacを狙うマルウェアの除去
Integoのセキュリティバンドル製品に含まれているIntego VirusBarrier X9は、Macを狙うマルウェアを検出および除去してMacを守ります( https://www.act2.com/intego )。Integoのソフトウェアは、iWebUpdateの構成要素を「OSX/iWebUpdate」、「OSX/iWebUpdate.ext」、そして「OSX/Dldr.Agent.zbqnj」として検出します。
お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。
注意: 古いバージョンのMac OS X上でVirusBarrier X8、X7、あるいはX6をお使いのお客様も、この脅威から保護されています。とは言え、お使いのMacにAppleが提供する最新のセキュリティアップデートを適用するためにも、可能であればmacOSを最新の状態にアップグレードし、VirusBarrierも最新バージョンに無償アップグレードすることをお勧めします。
■iWebUpdateのセキュリティ侵害インジケータ(IoCs)
次の3つのファイルパスが、iWebUpdateマルウェアと関係しています:
~/Library/Services/iWebUpdate
~/Library/LaunchAgents/iwebupdate.plist
/tmp/iwup.tmp
上のティルダ(~)記号は、例えば /Users/admin のように特定のユーザのホームフォルダを意味します。
メインとなるサンプル、iWebUpdateは 3e66e664b05b695b0b018d3539412e6643d036c6d1000e03b399986252bddbfb のSHA-256ハッシュを持ち、研究者はVirusTotalからダウンロードできます。
コマンド&コントロールのドメインの1つは、このマルウェアと2018年頃から関係していることがわかっています。
iwebservicescloud[.]com
このドメインは、2018年8月に初めて登録されましたが、元の所有者以降の登録は一度失効しているようです。その後、直近では2021年に登録されていますので、現在の所有者が元々のドメインの所有者と同じ団体であるとは限りません。しかし、ネットワーク管理者はネットワーク内のコンピュータがこのドメインに接続しようとしていたら感染の可能性があるので、最近のログを調べるべきでしょう。
■iWebUpdateの別名
この脅威の構成ファイルに対する他のソフトウェアメーカによる名称には、次のようなものが含まれている可能性があります:
Backdoor ( 0040f3561 )、HEUR:Trojan-Downloader.OSX.Agent.gen、MacOS:Downloader-AX [Drp]、Malware.OSX/Dldr.Agent.zbqnj、OSX.Trojan.Gen、OSX/Agent.X!tr.dldr、OSX/TrojanDownloader.Agent.X、Trojan:MacOS/Multiverze、Trojan.Downloader.OSX.Agent、Trojan.MAC.Generic.111537 (B)、Trojan.MAC.Generic.D1B3B1、そしてTrojan.OSX.Agent.4!c
■お使いのMacは安全ですか?
Mac用のセキュリティソリューションを検討しているなら、ACT2の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:
桜の開花も始まり、また、コロナも沈静化に向かい、気持ちの良い季節になりました。
(しかし、私は花粉症に悩まされています...)
皆様のご健康を、心からお祈りしております。
いつもありがとうございます。
株式会社アクト・ツー
Software Product Team
