GTA6やNotionを装うMac標的マルウェアが発見。その巧妙な手口と自衛策
Rockstar Games開発の超人気シリーズ最新作『Grand Theft Auto VI(GTA6)』は2025年内にリリース予定だが、その名前がフィッシング詐欺に悪用される事例も後を絶たない。 巧妙な手口が蔓延。GTA6は楽しみだが、うまい話にはご用心! そんななか、Macを標的とした「GTA6」偽装マルウェアが発見され、驚くほど洗練されたレベルに達していると報じられている。 かつて「Macはマルウェアの脅威とは縁遠い」との声もあったが、それはMacの人気が高まるにつれて過去のものとなった。以前は単純に、普及台数が少ないためマルウェア開発者にとってうま味も小さく、狙われにくかったのだろう。 しかし、近年はmacOSを標的としたマルウェアが急増。昨年も新たに21ものマルウェアファミリー(同様の挙動をするものをグループ化)が見つかり、2020年比で50%も増加していた。 ソフトウェア会社MacPawのサイバーセキュリティ部門Moonlockは、新たなPSW(パスワード情報を盗み出すため設計されたもの)の亜種を発見。感染したマシンからログイン名とパスワードを収集し、リモート接続や電子メールにより攻撃者に送りかえすトロイの木馬型マルウェアである。 このマルウェアは、「GTA 6」のコピーやNotionの海賊版を装う。これはソーシャル・エンジニアリングでよく使われる手口で、馴染みある名前を使うことで警戒を解き、ユーザーを騙してマルウェアをダウンロードさせるものだ。 すべてのMacにはセキュリティ機能「macOS Gatekeeper」が組み込まれている。これはApp Store外でダウンロードしたアプリ等を開く際に、信頼できる開発者により署名され、アップルが公証し、改変されていないか確認するしくみだ。 しかしユーザーは、dmgファイルを右クリックして「開く」を選ぶだけでGatekeeperを無効にできる。サイバー犯罪者はそう指示するグラフィックを含めることで、ユーザーを誘導するのである。 そうしてdmgを実行すると、AppleAppという名前の実行ファイルが解き放たれる。その後の動作は、次の通りだ。 ロシア内のIPアドレスから発信された特定のURLへのGETリクエストを開始接続に成功すると、部分的に難読化されたAppleScriptとBashペイロード(Bashスクリプトやコマンドを含むデータ。攻撃者が不正なコマンドを実行させるために使用)のダウンロードを開始このペイロードがファイルシステムを迂回してアプリケーション・メモリから直接実行される こうして実行されると、悪意ある目的を達成するために様々なアプローチを使う。具体的には次の通りだ。 認証情報のフィッシング 機密データを狙う システムのプロファイリング データ流出 特に注目すべきは認証情報のフィッシングだろう。ローカルに保存されたKeychainデータベース(ユーザーのパスワードやアカウント情報、証明書などを保存)には、ユーザーだけが知るシステムパスワードなしにはアクセスできない。 そこでマルウェアは、2つ目の手口を使う。偽のヘルパー・アプリのインストール・ウィンドウを「ゲームの管理のために必要」等と称して開き、ユーザーを騙してパスワードを吐かせるわけだ。 その後は、野放しも同然である。システムディレクトリをくまなく捜し回り、ChromeやFirefox、EdgeなどウェブブラウザのCookieやフォーム履歴、ログイン認証情報、暗号通貨のウォレットも標的にするという。 さらにホームディレクトリ内に秘密のフォルダを作成。ここに収集した機密情報を溜め込んで、サイバー犯罪者が管理する外部サーバーへの発送を待つという流れである。 こうした被害を回避する方法は、次の基本事項をあくまで厳守することだ。 公式のMac App Store以外のものをインストールする前に、十分な注意を払うこと いかなる場合でも、Gatekeeperを回避する指示に従ってはならない システムのプロンプトや機密情報の要求には注意する デバイスとアプリを常に最新の状態に保ち、最新の脅威と脆弱性から保護する Source: Moonlock via: 9to5Mac
多根清史