セキュリティ研究者らは、ハッキングフォーラムでオンライン犯罪者に販売されている「Proton」と呼ばれる新しいトロイの木馬の存在を発見した。このトロイの木馬は、本物のAppleのコード署名が添付されていると主張しており、被害者にとってより大きなリスクとなる可能性があるという。
セキュリティ企業Sixgillによると、ロシアのサイバー犯罪フォーラムで発見された「Proton」は、macOSシステムを標的としたリモートアクセス型トロイの木馬(RAT)です。Objective Cで記述されているため、依存関係なしで実行でき、作成者は「標的のMacでほぼすべての操作を実行できる、プロフェッショナルなFUD監視および制御ソリューション」と宣伝しています。
ルートアクセス権限を持つ場合、キーロギング、ファイルのアップロードとダウンロード、スクリーンショット、ウェブカメラへのアクセス、SSHおよびVNC接続などの操作が実行可能となります。また、このマルウェアは被害者にカスタムウィンドウを表示し、クレジットカード番号などの追加情報を要求することもできるとされています。
研究者らは、ユーザーが2要素認証を有効にしている場合でも、このトロイの木馬はiCloudへのアクセスも許可するため、危険にさらされるのはユーザーのローカルに保存されたデータだけではない、と指摘している。
シックスギル氏によると、マルウェアの作成者はAppleのコード署名を取得できたとのことで、これはAppleの厳格なサードパーティソフトウェア開発者向けフィルタリングプロセスを通過したことを示唆している。開発者は署名プロセスを通過するために、Apple Developer IDプログラムへの登録を偽装するか、盗んだ認証情報を使用したと考えられている。
さらに、シックスギル氏は、このマルウェアは、トロイの木馬の作成者が所有していると考えられる、macOS の「これまでパッチが適用されていないゼロデイ脆弱性」を使用することによってのみ、ルート権限を取得できると考えています。
こうした高度な機能を備えているにもかかわらず、このトロイの木馬は標的のシステムに感染するために既存の手法に頼っています。Protonのユーザーは、独自の名前とアイコンでマルウェアを偽装し、何らかの方法で標的を騙してダウンロードとインストールを促さなければなりません。
Protonの開発者は、企業スパイの防止、システム管理者のシステム管理支援、保護者による子供のインターネット利用状況の監視に最適なソリューションとして宣伝するウェブサイトを開設し、Protonを合法的なセキュリティツールとして売り込もうとしました。しかし、Sixgillがレポートを発表した直後、このウェブサイトはすぐに削除されました。
注目すべきは、トロイの木馬の作成者が潜在的な「顧客」向けにProtonの価格を値下げしたことです。以前は、このツールの入手には100ビットコイン(12万6000ドル)かかり、ライセンス料は無制限インストールでしたが、他者からの批判を受けて、無制限インストールの場合は40ビットコイン(5万400ドル)、1回のインストールの場合は2ビットコイン(2512ドル)に値下げされました。
Protonは、Windowsや他のOSに比べて攻撃に対してより堅牢であると考えられているMacを標的とした、最近発見された一連のマルウェアの最新のものです。2月には、「MacDownloader」と呼ばれるマルウェアが、Flash Playerのアップデートを装って、米国の防衛産業の個人や企業、そして人権擁護団体をハッキングしようとする試みの一環として発見されました。
同月には、Word文書内で自動実行されるマクロを利用するマルウェアが出現しました。これは、以前Windowsシステムに感染する際に使用されていた古い手法です。2月後半には、2016年米国大統領選挙への介入を疑われているロシアのハッキンググループが「Xagent」マルウェアパッケージを更新し、Windows、iOS、Android、LinuxデバイスからMacへの攻撃へと範囲を拡大していることが判明しました。
