ウイルス対策企業Integoのセキュリティ研究者らが、ユーザーを騙して最新のmacOSアプリのセキュリティ保護を回避させる新たなMacマルウェアを発見した。
macOS Catalinaでは、Appleは新たなアプリ認証要件を導入しました。Gatekeeperに組み込まれたこの機能は、ユーザーが未検証のアプリを開くのを阻止するため、マルウェア作成者はより創造的な戦術を駆使する必要に迫られています。
たとえば、Intego の研究者は、汚染された Google 検索結果を介して活発に拡散している新しいトロイの木馬型マルウェアを発見しました。このマルウェアは、ユーザーを騙して自ら保護を回避させます。
このマルウェアは、Adobe Flashインストーラーを装った.dmgディスクイメージとして配布されます。しかし、ユーザーのマシンにマウントされると、悪意のあるインストールプロセスを案内する指示が表示されます。
未確認のボタンをクリックしたときに表示される通常のプロンプト。クレジット:Intego
Integoが「斬新」と評する手法で、このマルウェアはユーザーにダブルクリックではなく右クリックして開くよう要求します。macOS CatalinaのGatekeeper設定では、「開く」ボタンのあるダイアログボックスが表示されます。通常、検証されていないファイルをクリックした場合、Appleはユーザーがこのように簡単に開くことを許可していません。
右クリックしてファイルを開くと、未検証のソフトウェアをより簡単に実行できるようになります。クレジット:Intego
通常、macOSは、未検証のアプリをユーザーが開かないように、プロセスをより困難にしています。具体的には、Gatekeeperを無効にするために、ユーザーにシステム環境設定を開くよう強制します。この戦略により、悪意のある人物がApple Developerアカウントにサインアップしたり、既存のアカウントを乗っ取ったりすることも防げます。
ユーザーが実際にインストーラアプリを開くと、bashシェルスクリプトが実行され、パスワードで保護された.zipファイルが抽出されます。このファイルには、従来型の悪意あるアプリバンドルが含まれています。最初は正規版のFlashがインストールされますが、Intego社によると、このアプリは「他のMacマルウェアやアドウェアパッケージ」のダウンロードにも利用される可能性があります。
興味深いことに、このマルウェアはGoogle検索結果を介して拡散しており、ブラウザのFlash Playerが古いという内容の悪質なウェブページにユーザーをリダイレクトします。Intego社によると、このマルウェアはこれまでのところ、ほとんどのウイルス対策ソフトウェアによる検出を回避できているとのことです。
このマルウェアの悪意ある部分は、ShlayerやBundloreといった過去のmacOSトロイの木馬を再設計した亜種です。Integoは2019年にも、同様のセキュリティ回避マルウェアを発見しています。
誰が危険にさらされているのか、そしてそれをどう回避するのか
Adobe Flash Playerは2020年12月31日に公式にサポート終了を迎えますが、Integoは「時代遅れのFlash」マルウェアがかなり蔓延している傾向があると指摘しています。例えば、前述のShlayerトロイの木馬は、Macユーザーの約10人に1人に感染しています。
このマルウェアはGoogle検索結果を通じて活発に拡散しているため、感染リスクはやや高くなります。Integoによると、このマルウェアはユーザーがYouTube動画の正確なタイトルを検索した際に出現するとのことです。
ユーザーは、絶対に信頼できるリンクのみをクリックすることで、このマルウェアを回避できます。ウェブサイトで不要なダウンロードを求められた場合は、すぐにそのサイトから離れてください。
侵害の兆候としては、ダウンロード内の flashInstaller.dmv、private/var/folders 内のサブフォルダー内の FlashInstaller.zip ファイルまたは「Installer」という名前のファイルなどのアプリが考えられます。
Intego社によると、youdontcare.com、display.monster、yougotupdated.com、installerapi.comなど、複数のドメインがこのキャンペーンに関連しているとのことです。これらのドメインとの間のトラフィックはすべて「感染の兆候として考えられるべき」だと研究者らは述べています。
