北朝鮮のハッカーは偽の求人情報や偽装したアプリのアップデートを利用してMacにマルウェアをこっそりと侵入させている。Appleの最新のXProtectアップデートは一部の脅威をブロックしているが、他の脅威は依然としてすり抜けている。
SentinelLabsのセキュリティ研究者は、「FlexibleFerret」と呼ばれる北朝鮮のマルウェアファミリーの新たな亜種を特定しました。このマルウェアはmacOSユーザーを積極的に攻撃しています。このマルウェアは、「Contagious Interview」と呼ばれる大規模な攻撃キャンペーンの一部であり、攻撃者は採用担当者を装って求職者に悪意のあるソフトウェアをインストールさせます。
Apple はこれらの脅威に対抗するために XProtect シグネチャ アップデートを提供し、FROSTYFERRET_UI、FRIENDLYFERRET_SECD、MULTI_FROSTYFERRET_CMDCODES などのいくつかの亜種をブロックしました。
XProtectは、AppleがmacOSに搭載するマルウェア検出・削除ツールで、既知の悪意のあるソフトウェアを識別・ブロックするように設計されています。バックグラウンドで静かに実行され、定期的に更新されるセキュリティシグネチャを使用して、ファイルのダウンロード時または実行時に脅威を検出します。
従来のウイルス対策ソフトウェアとは異なり、XProtect は最小限のユーザー介入でシステム レベルで動作し、手動スキャンを必要とせずに Mac を自動的に保護します。
FlexibleFerretで発見されたマルウェアコンポーネントの一部は、北朝鮮のHidden Risk攻撃で使用されたステージ2のペイロードと類似点がある。画像クレジット:SentinelOne
このマルウェア攻撃は、12月と1月に発見された北朝鮮に起因する脅威から進化しています。攻撃者は、偽のChromeアップデートや偽装されたZoomインストーラーなどの欺瞞的な戦術を用いてmacOSシステムを感染させています。
このマルウェアの持続メカニズムとデータ窃取方法は、十分な資金があり、国家の支援を受けた活動であることを示唆している。
マルウェアの拡散方法
FlexibleFerretマルウェアは主にソーシャルエンジニアリングを通じて拡散します。被害者は、偽の就職面接中にエラーメッセージが表示され、VCamやCameraAccessといった一見正規のアプリをダウンロードさせられます。
実際には、これらのアプリはバックグラウンドで実行される悪意のある永続化エージェントをインストールし、機密データを盗みます。特定されたパッケージの1つであるversal.pkgには、InstallerAlert.app、versal.app、そしてzoomという不正なバイナリを含む複数の悪意のあるコンポーネントが含まれています。
マルウェアは実行されると、永続性を維持するための起動エージェントをインストールし、Dropbox を介してコマンド アンド コントロール サーバーと通信します。
FlexibleFerretドロッパーのファイル内容(versal.pkg)。画像提供:SentinelOne
Appleの最新のXProtectアップデートは、com.apple.secdを含むmacOSシステムファイルを装った主要なマルウェアコンポーネントをブロックします。しかしながら、FlexibleFerretの一部の亜種は依然として検出されておらず、これらの脅威の進化を浮き彫りにしています。
Macを保護する
Macユーザーは、信頼できないソースからソフトウェアをダウンロードする際には注意し、予期せぬソフトウェアインストールのプロンプトには警戒する必要があります。Appleの組み込みセキュリティ対策は第一線での防御策となりますが、追加のエンドポイントセキュリティソリューションを導入することで、新たな脅威を検知・ブロックすることができます。
Malwarebytes、Sophos Home、CleanMyMac X などのツールは、サイバー攻撃に対する追加の保護層を提供します。
