act2 ブログ

2023年8月19日土曜日

ビデオゲームに擬態するRealstと呼ばれるMacスティーラマルウェアはmacOS Sonomaにも対応

みなさん、こんにちは！

本日２通目ですね、スミマセン！
Intego の新しいイメージキャラクタ "KEIJIくん" です！
どうぞよろしくお願い申し上げます。

ビデオゲームに擬態するRealstと呼ばれるMacスティーラマルウェアはmacOS Sonomaにも対応（この記事は、2023年8月4日にJoshua Long（https://www.intego.com/mac-security-blog/author/joshlong/）によってMac Security Blogに投稿されたMac stealer malware Realst disguises itself as video games, is macOS Sonoma-readyの翻訳です）

７月初旬にマルウェア研究者、iamdeadlyz が Realst Stealer と呼ばれる Mac を狙う新しいマルウェアについて詳細な報告を発表しました。
iamdeadlyz は、少なくとも昨年から RedLine Stealer、PureLand、そして暗号通貨を盗む関連するマルウェアについて調査してきました。

その過程で、何人かがいくつかの偽のビデオゲームについて iamdeadlyz に報告しています。こうした偽ゲームは、それぞれ独自の Twitter および YouTube アカウント、Discord サーバ、ブログなどを持つため一見公式のように見えるのです。しかし、こうしたゲームだと思われていたプログラムがトロイの木馬マルウェアであることがわかったのです。また、同じマルウェアグループが最新の偽ゲームを開発しているようにも見受けられます。

そんなゲームのすべてではありませんが、いくつかは、さまざまなブロックチェーンを採用しているか、NFT（非代替トークン）ゲームだと説明されています。ビックリです！
ブロックチェーン（ https://ja.wikipedia.org/wiki/%E3%83%96%E3%83%AD%E3%83%83%E3%82%AF%E3%83%81%E3%82%A7%E3%83%BC%E3%83%B3 ）および非代替トークン（ https://ja.wikipedia.org/wiki/%E9%9D%9E%E4%BB%A3%E6%9B%BF%E6%80%A7%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3 ）は、特に暗号通貨を所有する人たちが興味を持つ技術です。つまり、こうした偽ゲームの開発者は暗号通貨ウォレットを持つ人たちを標的にしているのです。

Realst Stealerマルウェアは何をするか

Realst Stealer の主な目的は、感染した Mac で暗号通貨ウォレットを盗むことだと考えられています。Realst は、少なくとも10の異なる暗号通貨ウォレットのブラウザ機能拡張を標的にしています。

しかし被害者がブロックチェーンやNFTに関心のない人の場合、このトロイの木馬マルウェアは macOS のキーチェーンを抜き出そうと試みます。
またユーザが Mac に Telegram（ https://www.intego.com/mac-security-blog/6-secure-messaging-app-options-for-mac-and-ios/ ）メッセージアプリをインストールしていると、そのデータも標的にします。

Realst Stealer は、Apple の Safari と Microsoft の Edge という２つの例外を除き、すべての主な Mac 用ブラウザ（ https://www.intego.com/mac-security-blog/safari-chrome-firefox-which-is-the-most-private-browser-for-mac/ ）を標的にしています。Safariが対象にないのは開発者が Windows マルウェアの開発の方が得意なんだろうと考えれば納得できますが、Windows に付いていて Realst が狙う他のブラウザ同様に Chromium を採用する Edge が対象にない理由は定かではありません。

このマルウェアは、Google Chrome、Mozilla Firefox、Brave、Opera、Opera GX（いわゆるゲームブラウザ）、そして Vivaldi を標的にしています。

Realst Stealer が擬態するゲーム

分かっている主なトロイの木馬ゲームの名称は次のとおり:

・Brawl Earth（そのTwitterユーザ名はbrawlearth）

・Dawn Land MetaWorld（あるいはDawnLand Meta World、Dawn Land Metaverse、DawnMetaWorld、Meta_Dawn、またはVersePearl）

・Destruction（あるいはMetaDestruction、DestructionNFT、またはDestructionWeb3）

・Evolion（あるいはEvolionGameまたはEvolionLand）

・Guardians of the Throne（そのTwitterユーザ名はGuardiansMeta）— 同じ名称のAndroidゲーム（ https://play.google.com/store/apps/details?id=com.elight.got.gp&hl=ja_jp ）とは違うものです。

・Olymp of Reptiles [原文ママ] （そのTwitterユーザ名はolympreptiles）

・Pearl Land Metaverse（Twitterでは VersePearlでした）

・RyzeX（そのTwitterユーザ名はRyzeX_web3）

・Saint Legend（TwitterではPlaySaintLegendでした）

・WILDWORLD（そのTwitterユーザ名はWildmenWorld）

驚くべきことに、こうしたトロイの木馬ゲームのいくつかは今も Twitter/X のアカウントが削除されたり停止されていません。
“brawlearth”アカウントは、そのプロフィール画像、名前、バイオ、そしてロケーションは除去されていますが、それ以外のGuardiansMeta、olympreptiles、RyzeX_web3、そしてWildmenWorldの４つのアカウントは、3月、4月、6月から使用されていないもののオープンのままです。

サンプルによってはmacOS Sonomaに対応

Macマルウェア研究者、Phil Stokes氏は、Realst Stealerの最新の調査でいくつかのサンプルのコードにAppleのMac用次期オペレーティングシステムであるmacOS Sonomaが出てくると書いています（ https://www.sentinelone.com/blog/apple-crimeware-massive-rust-infostealer-campaign-aiming-for-macos-sonoma-ahead-of-public-release/ ）。

これはRealst Stealerの開発者がAppleの新しいOSが華々しく登場した初日には対応しているように、今からSonomaのベータ版で試験していることを示唆します。

Realst StealerのようなマルウェアからMacを守り、除去する方法

Integoのバンドル製品に含まれているIntego VirusBarrier X9（ https://act2.com/intego ）は、Realst Stealerおよび同種のMacを狙う脅威を検出して除去できます。

お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです（ https://www.intego.com/mac-security-blog/why-your-antivirus-needs-real-time-scanning/ ）。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。

注意: 古いバージョンのMac OS XでIntegoのVirusBarrier X8、X7、あるいはX6シリーズをお使いのユーザもこの脅威から保護されます。しかし、お使いのMacをAppleによる最新のセキュリティアップデートで保護するためにも、可能であれば常に最新のVirusBarrierおよびmacOSをお使いください。

お使いのMacは安全ですか？

Mac用のセキュリティソリューションを検討しているなら、act2.com の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:

https://act2.com/intego

May the FORCE be with you!

株式会社アクト・ツー
Software Product Team

2023年8月9日水曜日

画期的な PowerPoint 自動化ソフトウェア “Think-Cell”

PowerPoint ユーザーさんに朗報です！！

マインドバンク合同会社との提携により、世界的に認知されているソフトウェア企業、Think-Cell 社との新たなパートナーシップを締結し、Think-Cellソフトウェアの日本国内でのマーケティング、ブランディング、そして販売およびサポートを開始しました。

複雑なデータのビジネスコミュニケーションを変革した Think-Cell は、Microsoft PowerPoint を圧倒的に機能強化し、世界中の様々なビジネスパーソンに愛用されている画期的な PowerPoint 自動化ソフトウェアです。

Think-Cell は、精密なチャート作成、Excelデータリンクの維持による自動更新、複雑なスライドレイアウトの簡素化といった、さまざまな面で、PowerPoint ドキュメントを効果的にかつ効率よく作成することを可能にしています。すぐれたデータプレゼンテーションが重要とされるファイナンス、コンサルティング、その他のビジネス分野で、Think-Cell は欠かせないツールとなっています。

Think-Cell のいくつかの大きな特徴を以下に記述します：

チャート作成： PowerPoint で通常難しいとされるウォーターフォール、マリメッコ、ガントなどの様々なチャートタイプを Think-Cell がサポートします。

自動化： PowerPoint 内の多くの要素を自動化し、複雑なスライドレイアウトの作成を簡素化します。

データ更新： Think-Cell は Excel とのリンクを維持し、データが変更されたときにチャートを自動的に更新します。頻繁に更新されるプレゼンテーションにとって、これは大きな時間節約となります。

アジェンダ作成： Think-Cell は PowerPoint 内でアジェンダや目次の作成と管理を支援し、スムーズなプレゼンテーションのナビゲーションを実現します。

互換性：標準の Office アプリケーションとシームレスに統合され、ビジネスの技術スタックへの追加が容易です。

私たちは、Think-Cell の高度な機能とユーザーフレンドリーなインターフェースが、全国のビジネスに大きな生産性の向上をもたらすと信じています。

効率を高め、コストを削減し、成功を引き寄せる優れたソフトウェア・ソリューションでビジネスを強化するというミッションを続けています。

この新たな提供が日本のビジネスに大きな利便性をもたらし、より少ない時間でより魅力的なデータ・ストーリーを伝えることを可能にすると考えています。

株式会社アクト・ツーの Think-Cell の提供についての詳細やデモのスケジュールについては、www.act2.com をご覧いただくか、カスタマーサポートチーム support@act2.com にお問い合わせください。

さっすが、ドイツ製！！質実剛健！！

これぞ、German Spirit!

あなたのパワポ書類が劇的に変わる！

ぜひ、

act2.com/think-cell/　へ！

ChatGPTがダークウェブでMacを狙うマルウェアを見つけたの？

みなさん、こんにちは！

いつも act2メルマガをご覧いただき、誠にありがとうございます。

沖縄、九州方面のみなさま、早く台風が去ってくれることを祈っています。

ChatGPTがダークウェブでMacを狙うマルウェアを見つけたの？ HVNC macOSの亜種の報告（この記事は、2023年8月4日にJoshua Long（https://www.intego.com/mac-security-blog/author/joshlong/）によってMac Security Blogに投稿されたDid ChatGPT find Mac malware on the Dark Web? Report of HVNC macOS variantの翻訳です）

先日、ShadowVault（https://act2blog.blogspot.com/2023/07/mac-mac-shadowvault2023713joshua-long.html）を発見したと発表した研究者のグループが、再度ニュースを賑わせました。

Mac関連ニュースサイトのいくつかが「ChatGPTがダークウェブでMacのマルウェアを発見」といったヘッドラインで報じたものです。実際、2023年はニュースでChatGPT—および他の人工知能ボット—の名前を聞かないことはありませんから、然もありなんと思う人も多いでしょう。

しかし、事実は注目されるほどのことではありませんでした。この研究者グループは、ChatGPTに「Hey, do you think there’s more Mac malware out there?（もっと多くのMacを狙うマルウェアが存在していると思うかい？」と聞いただけです。そしてChatGPTの回答は「Yeah, probably.（はい、多分そうだと思います）」でした。そして研究者たちは「Okay, cool, we’ll go back to doing our jobs now, and try to find some.（なるほど、じゃぁいつものように探してみるね」というわけです。

そう、これだけのことです。

ただし、その結果として研究者が発見したとする内容はもう少し面白いものです。

HVNC ハッキングツールの macOS 版なのか

この研究者グループのいつものやり方なんだと思いますが、新しいMacマルウェアの証拠を求めて“ダークウェブ（サイバー犯罪者フォーラム）”を見て回りました。

彼らはRastaFarEyeと呼ばれる信用するに値する*と考えられる脅威アクターによるフォーラムへの投稿を見つけたとしています（*当たり前ですが、人物として信頼できるという意味ではなくサイバー犯罪者のフォーラムにおける犯罪者の“信頼度”という意味です）。この脅威アクターは、$60,000から始まる“ライフタイム価格”で購入者は“macOS Secure-Websocket HVNC”が利用できるようになるとしています。

簡単に言うと、バックドアあるいはリモートアクセスのトロイの木馬（RAT）を販売しているわけです。VNCはバーチャル・ネットワーク・コンピューティングの略で1990年代後半から使われている技術であり、現在のmacOSにも内蔵されています。許可を得ている人なら、リモートでコンピュータを制御することができる技術です。HVNCはVNCの悪質版で、被害者が知らないうちに、あるいは被害者の許可がなくても完全にバックグラウンドで動作するのでhiddenを意味するHが付けられています。

このMac HVNCの亜種は、悪意を持った誰かがリモートでファイルにアクセスできるといったいくつかの機能を持っていると考えられます。また管理者権限を取得し、Macが再起動する度にバックグラウンドで自動起動するように自らをインストールすることができるとも考えられています。こうした特徴は、バックドアマルウェアにはよくあるものです。

現状では、これが“macOS HVNCツール”について分かっているほぼすべてです。この研究者グループはサイバー犯罪者に数百万円も払いませんでしたので、スクリーンショットやサンプル、あるいはそのようなツールが実在することを示す証拠は何もありません。

IntegoでもMac版のHVNCを探してみましたが、現段階では確かなサンプルは見つかっていません。

HVNCのようなマルウェアからMacを守り、除去する方法

今の所、確かにMac版のHVNCであると分かっているサンプルを持っている人はいません。この新しいMacマルウェアが販売された証拠もありませんが、IntegoではすでにWindows版のHVNCは検出できますし、常に新しいMacのバックドア、RAT、そして他のスパイツールやマルウェアを定義ファイルに追加しています。

Integoのバンドル製品に含まれているIntego VirusBarrier X9（ https://act2.com/intego ）は、Macを狙うHVNCのようなバックドアスパイウェアを検出して除去できます。

お使いの Mac がマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できる Mac の開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つ VirusBarrier は、Mac のセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです（ https://www.intego.com/mac-security-blog/why-your-antivirus-needs-real-time-scanning/ ）。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。

■お使いのMacは安全ですか？

Mac用のセキュリティソリューションを検討しているなら、act2.com の次の Intego 製品ページで機能や目的に合った製品があるかご確認ください:

https://www.act2.com/intego

株式会社アクト・ツー
Software Product Team
 一同

2023年8月1日火曜日

macOS Ventura に完全対応した TechTool Pro 18 が新登場（サブスクにも対応！）

みなさま、こんにちは。

お待たせいたしました！

TechTool Pro が macOS Ventura に完全対応し、v.18 としてリリースいたします。（2023/8/1 販売開始）

メルマガ購読者の多くの皆様には、すでに古くからご愛用いただいておりまして、誠にありがとうございます。

皆様ご承知のように、かつてはディスクのメンテナンスツールとして Apple ケアに公式採用されておりました。今日では Mac の総合的な「健康管理ツール」のデファクトスタンダードとして広くご愛用いただいています。

「あなたの Mac は健康ですか？」

このキャッチフレーズのもとに、ストレージに関するハードウェア的な診断だけでなく、論理的な診断・修復、そして、メイン RAM やビデオメモリ、ネットワーク機能、各種の複雑なセンサーなど、さまざまな側面から、Mac をテストし、不具合の修復を試みます。

これらによって得られるメリットは：

１）不具合の検出・修復

２）論理的なボリューム構造のリビルドによるパフォーマンス劣化の阻止

３）不測の事態が起きる前に、その兆候を察知して、未然にトラブルを回避する

など、文字通り、Mac を常に健全な状態で維持することができます。

v.18 の特長は、

【１】何と言っても、まず、最新の macOS “Ventura” への完全対応が挙げられます。OS の診断は非常にデリケートな処理を要求されます。TechTool Pro のようなシステムユーティリティにとって、OS へのキャッチアップは、その OS の完全版がリリースされてからでないと確実な開発作業が不可能であること。また、その作業自体は、例えば何か新しい機能を付加することよりも何倍もの労力を要することから、とてもたいへんな開発作業になります。特にクローニングツールにおいては大幅な変更が加えられました。しかし開発チームはそれをやり遂げました。

【２】また、従来から多くのリクエストを頂いておりました「テストのスケジューリング機能」が搭載されました。これによって、ついおろそかになりがちな「フルテスト」も忘れることなく実行させることができます。

【３】その他にも特筆すべき点として、「セキュリティチェックツール」の搭載があります。Mac のセキュリティ脆弱性をチェックし、問題は重要度に応じてランク付けされ、対処方法も提示されます。貴重なデータを潜在的な脅威から保護するための正しい選択が可能になりました。

さらに、すでにご体験いただいているユーザー様も多いと思いますが、

バージョン17から搭載されている TechTool Monitor が最新 macOS に対応したことは大きな意味があります。

TechTool Monitor はバックグラウンドで動作しており、つねに、接続されているすべてのストレージデバイスの状態とスナップショット（任意の間隔で）を撮り続けていることによって、いつでも接続されている全てのストレージデバイスの状態確認と、不測のアクシデントからの回復を可能にしています。この安心感はまさに「プライスレス！」です。

最後に、デファクトスタンダードとして、

最新の macOS は非常に優れていますが、時間の経過とともに、動作は徐々に重たくなります（これは現在のコンピュータのアーキテクチャが根本的に変わらない限り永遠について回る悩みです）。また「突然の故障」の可能性も依然として存在します。これはビジネスユーザーにとっては致命的な問題になりかねません。

例えば S.M.A.R.T. チェックにしても、他のツールでは「OK か破損しているか」しかわかりません。破損してからそれを報告されても手遅れです。TechTool Pro の S.M.A.R.T. チェックは、「ダメになる前の段階で」それを知ることができますので、突然のクラッシュを未然に防ぐことができます。

SSD ドライブが安価になってきたことは有り難いですが、一方で「安いけれど品質に不安のある製品」も多く存在します。

そうした不安を払拭し、安心して Mac をフルに使うためにも、「TechTool Pro 18」をインストールしておくことを強くお勧めします。

高級車に装備されている最高の安全装置のようなものです。

「TechTool Pro 18」は、Apple SiliconとIntel ベースの Mac のどちらにもネイティブ対応しており、OS X 10.13 からmacOS 13 'Ventura'までのバージョンをサポートしています。

よって、この最新バージョンは、さまざまな機能と改善が追加され、最新の macOS を搭載した Mac のパフォーマンスとデータのセキュリティに大きく貢献します。

最後に、テストメニューとツールメニューの内容がわかる画面ショットを添付しておきます。

注：ご利用のマシンによって一部表示されるメニューが異なります。例えば、古い機種、古い OS ですと、ファイルやディスクの最適化（デフラグ）メニューが表示されます。

【テストメニュー】

【ツールメニュー】

【価格情報】

TechTool Pro 18

シングルライセンス　　　26,400 円（税込み、以下同様）

追加ライセンス２台用　　13,200 円

アップグレード　13,200 円

10 ライセンスビジネスパック　44,658 円

10 ライセンスビジネスパックアップグレード　　27,718 円

TechTool Pro Subscription

1-ユーザライセンス　　13,852 円

3-ユーザライセンス　　18,472 円

10-ユーザライセンス　　27,712 円

【動作環境】

Apple Silicon および Intel ベースの Mac
macOS 10.13 'High Sierra' から macOS 13.1 'Ventura'

APFSの互換性に関する追加情報

【無償アップグレードサービス】

対象ご購入期間：　2023年 6月 1日〜 2023年 7月 25日

！）特にご申請いただかなくても弊社から順次 v.18 用のライセンスキーをお届けさせていただきます。

【発売日】

2023/08/01

【お問合せ】

製品情報：https://act2.com/ttp

Eメール：info@act2.com

ヘルプデスク：https://support.act2.com/hc/ja

まだしばらく暑い日々が続くと思われますが、みなさま、どうかくれぐれも熱中症にはお気をつけくださいませ。

最後まで、お読みくださって、誠にありがとうございました。

act2.com

Product Team

一同

2023年7月19日水曜日

なんと、Macからデータを盗むマルウェアの最新バリエーションが見つかった！

みなさん、こんにちは。（こんばんは、でしょうか？）

今日の内容は、なんと、Macからデータを盗むマルウェアの最新バリエーションが見つかった！というニュースです。

Macを狙う最新のデータスティーラー・マルウェア “ShadowVault”（この記事は基本的に、2023年7月13日にJoshua Long（https://i.r.cbz.jp/cc/pl/kfwb7399/iyw1cymtz3bd/3rrlik86/）によってMac Security Blogに投稿されたShadowVault is the latest Mac data-stealer malware, reportedlyの翻訳です）

ShadowVault は、今週のApple関連プレスを賑わしたMacからデータを盗むマルウェアの最新バリエーションです。この記事では、現時点でわかっていることを紹介します。

■ShadowVaultマルウェアは何をするのか？

2023年6月3日に公開されたShadowVaultは、“macOSスティーラー”マルウェアとされています。犯罪者が月額$500をディストリビュータに支払って利用する、いわゆる「マルウェア・アズ・ア・サービス（MaaS）」として販売されています。

ShadowVaultは、XSS（旧名DaMaGeLaB）と呼ばれるロシア語のサイバー犯罪およびハッキングフォーラムで見つかりました。

このマルウェアの動作を紹介するYouTube動画： https://i.r.cbz.jp/cc/pl/kfwb7399/o2fys6k5k2s0/3rrlik86/ ）

は、6月8日に公開されました｛この発見は、macOSセキュリティ研究者であるPhil Stokes氏（ https://i.r.cbz.jp/cc/pl/kfwb7399/dyot39z2jqbp/3rrlik86/ ）の功績です｝。

この動画では、ShadowVaultアプリがMacから様々なデータを取り出し、データダンプをほんの1分ほどでコマンド＆コントロール（C&C）サーバに返信する様を見せるとしています。C&C担当者に表示されたそのレポートには、被害者のMacから取り出されたパスワードに加え、Cookie、パスワード、クレジットカード番号、そして暗号通貨ウェレットなどを含む取り出されたとされるデータの概要が含まれているように見えます。

動画では、このマルウェアのロシア語および英語の製品ページへのリンクと共にTelegramチャンネルが記載されています。

https://www.intego.com/mac-security-blog/wp-content/uploads/2023/07/ShadowVault-Telegram-channel.jpg

https://i.r.cbz.jp/cc/pl/kfwb7399/o2fys6k5k2s0/3rrlik86/

■ShadowVaultのTelegramチャンネル

前出の製品ページでは、このマルウェアがmacOSのキーチェーン、Google Chrome、Microsoft Edge、Brave、Opera、VivaldiなどのChromiumを採用するWebブラウザ、そしてFirefoxからパスワードを取り出せるとしています。またShadowVaultが、暗号メッセージアプリであるMac版Telegramからメッセージを抜き出すことを意味すると思われる“Telegram grabbing”ができるとしています（ https://i.r.cbz.jp/cc/pl/kfwb7399/pttuk778u0io/3rrlik86/ ）。

■ShadowVaultのようなマルウェアからMacを守り、除去する方法

現時点では、ShadowVaultと確実に関連していると言えるサンプルは見つかっていません。Macマルウェアコミュニティ内で声をかけてみましたが、誰も明確なサンプルは持っていませんでした。さらに言えば、このマルウェアが実際に販売された証拠も見つかっていません。

しかし、Integoでは新たに汎用のスティーラーおよびキーチェーンダンプマルウェアを定義ファイルに追加しました。追加された新たな脅威は、実際には一つで同一である可能性が高いでしょう。また、ShadowVault自体が、Macを狙うオープンソースのマルウェアパッケージを基にしたすでに世に出回っているマルウェアの見た目を変更しただけという可能性もあります。

Integoのバンドル製品に含まれているIntego VirusBarrier X9（ https://i.r.cbz.jp/cc/pl/kfwb7399/jvv6jz48jqux/3rrlik86/ ）は、ShadowVaultのような動作を行うMacを狙うマルウェアを検出して除去できます。Intego製品は、この脅威のコンポーネントをOSX/JokerSpy、Python/JokerSpy、あるいはadware/OSX/Agent.jlejbのような名前で検出します。

お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです（ https://i.r.cbz.jp/cc/pl/kfwb7399/j0fwayv4nxhw/3rrlik86/ ）。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。

ご注意: 古いバージョンのMac OS XでIntegoのVirusBarrier X8、X7、あるいはX6シリーズをお使いのユーザもこの脅威から保護されます。しかし、お使いのMacをAppleによる最新のセキュリティアップデートで保護するためにも、可能であれば常に最新のVirusBarrierおよびmacOSをお使いください。

■お使いのMacは安全ですか？

Mac用のセキュリティソリューションを検討しているなら、ACT2の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:

https://i.r.cbz.jp/cc/pl/kfwb7399/b0nx40xykmgn/3rrlik86/

コンピュータとマルウェアは、本当に「イタチごっこ」ですが、少なくともコンピュータのアーキテクチャが根本から変わらない限り、永遠に続いていくでしょう。しかし、マルウェア駆逐を諦めるわけにはいきません。ネットを利用する正しい姿勢としてエンドポイント（Mac や PC）には必ず、マルウェア対策ツールをインストールしておきましょう。

ところで、熱中症にはくれぐれもお気をつけくださいね！では、また！
文責
MK

2023年7月10日月曜日

Mac を狙うマルウェア "JokerSpy" バックドアの感染確認

（この記事は、2023年6月23日にJoshua Long（https://www.intego.com/mac-security-blog/author/joshlong/）によってMac Security Blogに投稿されたJokerSpy backdoor Mac malware discovered in the wildの翻訳です）

この6月に２つの研究チームが、JokerSpyと名付けられた新しいMacマルウェアファミリーを個別に発見しました。このマルウェアの初期段階にクロスプラットフォームのコンポーネントが含まれていることから、JokerSpyにはWindowsおよびLinux版も存在することが示唆されています。

この新しいMacを狙う脅威がどのようなものか、そしてどのように身を守れば良いか説明したいと思います。

JokerSpy Macマルウェアの動作

まず現時点では、根本的な感染経路（マルウェアがMacに侵入する方法）はわかっていません。

分かっているこのマルウェアが実行された際の最も初期の機能は、追加コンポーネントをダウンロードするために使われるPythonバックドア（ファイル名 sh.py）です。“日本の著名な仮想通貨取引所”での感染では、このマルウェアが機能追加のためにSwiftBeltをダウンロードすることが観察されています。SwiftBelt（ https://github.com/cedowens/SwiftBelt ）は、Mac専門のオフェンシブ・セキュリティのエンジニアであるCedric Owens氏が開発したレッドチーム用の合法ツールです。残念なことに、JokerSpyの配布者のような犯罪者によって善意のツールが悪用されることもあるのです。

JokerSpyのようなマルウェアがシステムに侵入して感染すると、攻撃者はシステムの多くの部分を制御できるようになります。バックドアがあれば、攻撃者はバックグラウンドで追加コンポーネントをインストールし、さらに危険な攻撃を実行し、ユーザの行動を監視し、ログイン情報や暗号通貨のウォレットを盗んだりできるようになります。

JokerSpyや他のMacを狙うマルウェアの除去および防御

Integoのバンドル製品に含まれているIntego VirusBarrier X9（ https://act2.com/intego ）は、このMacを狙うマルウェアを検出して除去できます。Intego製品は、この脅威のコンポーネントをOSX/JokerSpy、Python/JokerSpy、あるいはadware/OSX/Agent.jlejbのような名前で検出します。

お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです（ https://www.intego.com/mac-security-blog/why-your-antivirus-needs-real-time-scanning/ ）。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。

JokerSpyとSysJokerとの関係

2022年2月の記事で触れたSysJoker（ https://www.intego.com/mac-security-blog/sysjoker-cross-platform-backdoor-malware-for-mac-windows-and-linux/ ）が、今回のJokerSpyと関係している証拠はありませんが、いくつかの点では似ているとも言えます。どちらもmacOS、Windows、そしてLinux PCに感染するコンポーネントを持つクロスプラットフォームのバックドアマルウェアファミリーです。そして、どちらもGitHubに似たドメインを使っている点も興味深いところです。

JokerSpyの名前の“joker”は、その開発者のmacOSログイン名から来ており、“Spy”も/Users/joker/Downloads/Spy/XProtectCheck/というJokerSpyのmacOS実行ファイルの一つと同じパス文字列で見つかります。

研究者グループの一つは、JokerSpyマルウェアの特定のサンプルは、2023年4月の記事で触れたSmoothOperator Trojanized 3CXソフトウェア（ https://www.intego.com/mac-security-blog/smoothoperator-3cx-voip-app-spreads-mac-malware-by-lazarus-group-apt/ ）のペイロードと“よく似たコードシグネチャーを持つ”としています（ https://www.elastic.co/security-labs/inital-research-of-jokerspy ）。

JokerSpyのセキュリティ侵害インジケータ（IoC）

次のSHA-256ハッシュがJokerSpyマルウェアのキャンペーンと関係している可能性があります:

39bbc16028fd46bf4ddad49c21439504d3f6f42cccbd30945a2d2fdb4ce393a4

5fe1790667ee5085e73b054566d548eb4473c20cf962368dd53ba776e9642272

6d3eff4e029db9d7b8dc076cfed5e2315fd54cb1ff9c6533954569f9e2397d4c

8ca86f78f0c73a46f31be366538423ea0ec58089f3880e041543d08ce11fa626

951039bf66cdf436c240ef206ef7356b1f6c8fffc6cbe55286ec2792bf7fe16c

aa951c053baf011d08f3a60a10c1d09bbac32f332413db5b38b8737558a08dc1

d895075057e491b34b0f8c0392b44e43ade425d19eaaacea6ef8c5c9bd3487d8

次のコマンド＆コントロール（C&C）ドメインが、このマルウェアに関連して使用されているとの報告があります:

git-hub[.]me

app.influmarket[.]org

ネットワーク管理者は、ネットワーク通信ログを調べればネットワーク内のコンピュータが感染して前出のドメインに接続しようとしていないか確認することができます。

研究者、Mauro Eldritch氏の2023年2月の記事によれば、前出の最初のドメインは“QRLog” Java RATに関連して見つかっているそうです（ https://twitter.com/MauroEldritch/status/1624033136269991938 ）。当初の分析内容はすでにオンラインにありませんが、Bingのキャッシュ版（ https://cc.bingj.com/cache.aspx?q=https%3a%2f%2fgithub.com%2fMauroEldritch%2fQRLog&d=4934698636089350&mkt=en-US&setlang=en-US&w=TfrTJAiizqLECoV_-hJHTjHHdXnE5IKm ）およびインターネット上のアーカイブバックアップ（ https://web.archive.org/web/20230623212358/https://cc.bingj.com/cache.aspx?q=https%3A%2F%2Fgithub.com%2FMauroEldritch%2FQRLog&d=4934698636089350&mkt=en-US&setlang=en-US&w=TfrTJAiizqLECoV_-hJHTjHHdXnE5IKm ）があります。

JokerSpyの別名

他のメーカによるこのマルウェアキャンペーンに関連する危険なコンポーネントの呼称には、次のような名前が含まれています:

Adware.ADWARE/OSX.Agent.gedwx、Adware.ADWARE/OSX.Agent.jlejb、Adware/Joker!OSX、Backdoor.Python.JokerSpy.a、Backdoor.Python.JokerSpy.b、HEUR:Trojan.OSX.JokerSpy.a、Joke:MacOS/Multiverze、MacOS:Joker-B [Trj]、OSX.Trojan.Gen、OSX/JokerSpy-A、OSX/Spy.Joker.A、Python:Joker-A [Trj]、Python:Joker-B [Trj]、Python/Spy.Joker.A、Riskware.OSX.Agent.1!c、Trojan Horse、Trojan:Python/PyJoker.AC、Trojan.MAC.JokerSpy.A (B)、Trojan.MAC.JokerSpy.A [many]、Trojan.MAC.JokerSpy.C (B)、Trojan.OSX.JokerSpy.4!c、Trojan.Python.JokerSpy.A (B)、Trojan.Python.JokerSpy.B (B)、Trojan.Python.JokerSpy.C (B)、Trojan.Script.JokerSpy.4!c、Trojan.Win32.FRS.VSNW15F23