HOME > ニュース > GTA6やNotionを装うMac標的マルウェアが発見。その巧妙な手口と自衛策

ガジェットGatekeeper無効化の指示には従わないこと

GTA6やNotionを装うMac標的マルウェアが発見。その巧妙な手口と自衛策

Gadget Gate
公開日 2024/04/02 19:31 多根清史
  • Twitter
  • FaceBook
  • LINE
Rockstar Games開発の超人気シリーズ最新作『Grand Theft Auto VI(GTA6)』は2025年内にリリース予定だが、その名前がフィッシング詐欺に悪用される事例も後を絶たない。

そんななか、Macを標的とした「GTA6」偽装マルウェアが発見され、驚くほど洗練されたレベルに達していると報じられている。

かつて「Macはマルウェアの脅威とは縁遠い」との声もあったが、それはMacの人気が高まるにつれて過去のものとなった。以前は単純に、普及台数が少ないためマルウェア開発者にとってうま味も小さく、狙われにくかったのだろう。

しかし、近年はmacOSを標的としたマルウェアが急増。昨年も新たに21ものマルウェアファミリー(同様の挙動をするものをグループ化)が見つかり、2020年比で50%も増加していた。

ソフトウェア会社MacPawのサイバーセキュリティ部門Moonlockは、新たなPSW(パスワード情報を盗み出すため設計されたもの)の亜種を発見。感染したマシンからログイン名とパスワードを収集し、リモート接続や電子メールにより攻撃者に送りかえすトロイの木馬型マルウェアである。

このマルウェアは、「GTA 6」のコピーやNotionの海賊版を装う。これはソーシャル・エンジニアリングでよく使われる手口で、馴染みある名前を使うことで警戒を解き、ユーザーを騙してマルウェアをダウンロードさせるものだ。

すべてのMacにはセキュリティ機能「macOS Gatekeeper」が組み込まれている。これはApp Store外でダウンロードしたアプリ等を開く際に、信頼できる開発者により署名され、アップルが公証し、改変されていないか確認するしくみだ。

しかしユーザーは、dmgファイルを右クリックして「開く」を選ぶだけでGatekeeperを無効にできる。サイバー犯罪者はそう指示するグラフィックを含めることで、ユーザーを誘導するのである。

そうしてdmgを実行すると、AppleAppという名前の実行ファイルが解き放たれる。その後の動作は、次の通りだ。

ロシア内のIPアドレスから発信された特定のURLへのGETリクエストを開始接続に成功すると、部分的に難読化されたAppleScriptとBashペイロード(Bashスクリプトやコマンドを含むデータ。攻撃者が不正なコマンドを実行させるために使用)のダウンロードを開始このペイロードがファイルシステムを迂回してアプリケーション・メモリから直接実行される

こうして実行されると、悪意ある目的を達成するために様々なアプローチを使う。具体的には次の通りだ。

認証情報のフィッシング

機密データを狙う

システムのプロファイリング

データ流出

特に注目すべきは認証情報のフィッシングだろう。ローカルに保存されたKeychainデータベース(ユーザーのパスワードやアカウント情報、証明書などを保存)には、ユーザーだけが知るシステムパスワードなしにはアクセスできない。

そこでマルウェアは、2つ目の手口を使う。偽のヘルパー・アプリのインストール・ウィンドウを「ゲームの管理のために必要」等と称して開き、ユーザーを騙してパスワードを吐かせるわけだ。

その後は、野放しも同然である。システムディレクトリをくまなく捜し回り、ChromeやFirefox、EdgeなどウェブブラウザのCookieやフォーム履歴、ログイン認証情報、暗号通貨のウォレットも標的にするという。

さらにホームディレクトリ内に秘密のフォルダを作成。ここに収集した機密情報を溜め込んで、サイバー犯罪者が管理する外部サーバーへの発送を待つという流れである。

こうした被害を回避する方法は、次の基本事項をあくまで厳守することだ。

公式のMac App Store以外のものをインストールする前に、十分な注意を払うこと

いかなる場合でも、Gatekeeperを回避する指示に従ってはならない

システムのプロンプトや機密情報の要求には注意する

デバイスとアプリを常に最新の状態に保ち、最新の脅威と脆弱性から保護する

Source: Moonlock
via: 9to5Mac

この記事をシェアする

  • Twitter
  • FaceBook
  • LINE

トピック