悪質なMacマルウェアがさらに巧妙化

Powity ookd Apps 0 comments
悪質なMacマルウェアがさらに巧妙化

WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。

UpdateAgentとして知られるMacマルウェアは1年以上前から拡散しており、開発者が新たな機能を追加するにつれて、その悪質性はますます高まっています。追加された機能には、感染したMacに永続的なバックドアをインストールする、攻撃的な第2段階のアドウェアペイロードの配布が含まれます。

UpdateAgentマルウェアファミリーは、2020年11月か12月には、比較的基本的な情報窃取型マルウェアとして拡散し始めました。製品名、バージョン番号、その他の基本的なシステム情報を収集していました。Macの起動時に実行されるという永続化手法も、かなり初歩的なものでした。

中間者攻撃

マイクロソフトは水曜日、UpdateAgentは時間の経過とともにますます高度化していると述べた。攻撃者のサーバーにデータを送信するだけでなく、マルウェアがまだ実行されているかどうかを攻撃者に知らせる「ハートビート」も送信する。また、「Adload」と呼ばれるアドウェアもインストールする。

Microsoft の研究者は次のように書いています。

アドウェアがインストールされると、広告挿入ソフトウェアと技術を用いてデバイスのオンライン通信を傍受し、ユーザーのトラフィックをアドウェア運営者のサーバーにリダイレクトして、ウェブページや検索結果に広告やプロモーションを挿入します。具体的には、Adloadは中間者攻撃(PiTM)を利用してウェブプロキシをインストールし、検索エンジンの検索結果を乗っ取ってウェブページに広告を挿入することで、公式ウェブサイト運営者からアドウェア運営者へと広告収入を吸い上げます。

Adloadもまた、異常に持続的なアドウェアの一種です。バックドアを開いて他のアドウェアやペイロードをダウンロード・インストールするだけでなく、攻撃者のC2サーバーに送信されるシステム情報を収集する機能も備えています。UpdateAgentとAdloadはどちらも追加のペイロードをインストールする機能を備えているため、攻撃者はこれらのベクトルのいずれか、あるいは両方を利用して、将来のキャンペーンで標的システムにさらに危険な脅威を拡散させる可能性があります。

UpdateAgent は、アドウェアをインストールする前に、macOS のセキュリティメカニズム Gatekeeper がダウンロードしたファイルに追加するフラグを削除するようになりました。(Gatekeeper は、新しいソフトウェアがインターネットからダウンロードされたことをユーザーに警告し、そのソフトウェアが既知のマルウェアの種類と一致しないことを保証します。)この悪意のある機能は目新しいものではありませんが(2017 年の Mac マルウェアも同様の機能を持っていました)、UpdateAgent に組み込まれていることは、このマルウェアが継続的に開発されていることを示しています。

UpdateAgentの偵察活動は拡張され、システムプロファイルとSPHardwaretypeデータの収集が可能になりました。これらのデータから、Macのシリアル番号などが明らかになります。また、このマルウェアは、以前のLaunchAgentフォルダではなく、LaunchDaemonフォルダを変更するようになりました。この変更により、UpdateAgentは管理者権限で実行する必要がありますが、この変更によってトロイの木馬はルート権限で実行される永続的なコードを挿入できるようになります。

次のタイムラインは進化を示しています。

Macマルウェアを説明するイラスト付きタイムライン

マイクロソフト提供

インストールされると、マルウェアはシステム情報を収集し、攻撃者の制御サーバーに送信し、その他多数のアクションを実行します。最新のエクスプロイトの攻撃チェーンは以下のとおりです。

マルウェア攻撃チェーンを示す図

マイクロソフト提供

マイクロソフトによると、UpdateAgentはビデオアプリやサポートエージェントなどの正規のソフトウェアを装い、ハッキングされたウェブサイトや悪意のあるウェブサイト上のポップアップ広告や広告を通じて拡散されるという。マイクロソフトは明確には言及していないが、どうやらユーザーはUpdateAgentをインストールさせられるよう仕向けられ、その過程でGatekeeperが設計通りに動作するようだ。

UpdateAgentの進化は、macOSマルウェア全体の縮図と言えるでしょう。マルウェアはますます高度化しています。Macユーザーは、ブラウザウィンドウに感染やパッチ未適用のソフトウェアを警告する迷惑ポップアップなど、ソーシャルエンジニアリングの罠を見抜く方法を学ぶべきです。

このストーリーはもともと Ars Technicaに掲載されました

WIREDのその他の素晴らしい記事

  • 📩 テクノロジー、科学などの最新情報: ニュースレターを購読しましょう!
  • あらゆるミームが実現するマイアミへようこそ!
  • 気候変動の直接的な影響に備える方法
  • 大手IT企業がテキサス州の中絶法について沈黙している理由
  • 日本のアーケードをアメリカに持ち込む強固なネットワーク
  • Zoomの欠陥により通話内容が漏洩する可能性
  • 👁️ 新しいデータベースで、これまでにないAIを探索しましょう
  • 📱 最新のスマートフォンで迷っていますか?ご心配なく。iPhone購入ガイドとおすすめのAndroidスマートフォンをご覧ください。

Related Posts

放射性ダイヤモンド電池は核廃棄物の治療法となるか?

放射性ダイヤモンド電池は核廃棄物の治療法となるか?

ookd • 0 comments
休息中のハトが複雑性理論の中心にある理由

休息中のハトが複雑性理論の中心にある理由

ookd • 0 comments
Nintendo Switch 2の下位互換性について知っておくべきこと

Nintendo Switch 2の下位互換性について知っておくべきこと

ookd • 0 comments
WIREDが検証した奇跡の二日酔い解消法。どういたしまして

WIREDが検証した奇跡の二日酔い解消法。どういたしまして

ookd • 0 comments
アップルの積極的な価格設定はiPhoneを救うのに十分ではないかもしれない

アップルの積極的な価格設定はiPhoneを救うのに十分ではないかもしれない

ookd • 0 comments
スライムの感覚は真剣なもの

スライムの感覚は真剣なもの

ookd • 0 comments

You Might Have Missed

WIREDが検証した奇跡の二日酔い解消法。どういたしまして

WIREDが検証した奇跡の二日酔い解消法。どういたしまして

Apple
放射性ダイヤモンド電池は核廃棄物の治療法となるか?

放射性ダイヤモンド電池は核廃棄物の治療法となるか?

Apps
休息中のハトが複雑性理論の中心にある理由

休息中のハトが複雑性理論の中心にある理由

Apple
アップルの積極的な価格設定はiPhoneを救うのに十分ではないかもしれない

アップルの積極的な価格設定はiPhoneを救うのに十分ではないかもしれない

Apps
Nintendo Switch 2の下位互換性について知っておくべきこと

Nintendo Switch 2の下位互換性について知っておくべきこと

Apple
スライムの感覚は真剣なもの

スライムの感覚は真剣なもの

Apple