マルコム・オーウェン
· 2分で読めます
今週、macOS ユーザーを標的とするマルウェアの 2 番目の例が明らかになりました。自動的に実行されるマクロを使用し、危険なペイロードをダウンロードして標的の Mac に感染しようとする Word 文書が発見されました。
Objective-Seeがまとめた調査によると、「米国の同盟国とライバル国によるトランプ勝利ダイジェスト - カーネギー国際平和財団」というタイトルのWordファイルは、潜在的な被害者が開こうとすると、通常のWordマクロ警告が表示されることが報告されています。この警告は、マクロにウイルスが含まれている可能性があることを警告し、マクロを有効にするか無効にするかを選択してファイルを開くか、あるいはファイルを開くのをやめるかを選択するオプションを提供します。
マクロを有効にして実行すると、自動マクロがPythonスクリプトの実行を開始します。このスクリプトは、まずネットワーク監視ツールLittle Snitchが実行中かどうかを確認し、特定のURLから第2段階のペイロードのダウンロードを試み、ペイロードを復号してその内容を実行します。Pythonコード自体は、既存のポストエクスプロイトフレームワークであるオープンソースのEmPyreプロジェクトから取得されており、コードは「ほぼそのまま」使用されています。
ペイロードファイルは現在アクセス不能であり、被害者に何が起こったのか正確には把握できていませんが、研究者たちはEmPyreコードの第2段階のコンポーネントを発見し、それが何が起こるかを示唆しています。ペイロードはMac上で永続化しようとし、再起動後に自動的に実行され、その後、多数のEmPyreモジュールのいずれかに基づいた機能を実行する可能性があると考えられています。
感染したWordファイルのタイトルは「米国の同盟国とライバル国がトランプの勝利を要約 - カーネギー国際平和財団」
これらのモジュールは、キーロガー、キーチェーンのダンプ、クリップボードの監視、スクリーンショットの撮影、iMessage へのアクセス、さらには接続されたウェブカメラなど、攻撃者がデータを取得するためのさまざまなオプションを提供していました。
Synackのセキュリティ研究者、パトリック・ウォードル氏は、このマルウェアは「特に高度なものではない」と指摘する。これは、文書を開くためにユーザーの操作が必要であり、マクロを有効にする必要があるためだ。ウォードル氏は、このファイルの作成者がユーザーをセキュリティにおける「最も脆弱な部分」として悪用し、マクロの「正当な」機能も利用することで「システムのクラッシュやパッチ適用の心配がない」感染経路を作り出した点を高く評価している。
文書に埋め込まれたマルウェアは比較的古い感染手法であり、MacよりもWindowsユーザーに影響を与えることが多い。ユーザーが最初の警告を無視することに大きく依存しているにもかかわらず、過去には一定の成功を収めた事例もある。1999年に発生した有名なMelissaウイルスは、Wordのマクロを利用してシステムに感染し、ファイルのコピーをユーザーの連絡先に複数送信することで拡散した。
この感染したWord文書は、別の種類のmacOSマルウェアと同時に侵入しました。イランのハッカーによって作成されたとみられるマルウェア「MacDownloader」は、偽の航空宇宙関連ウェブサイトと偽造Flashアップデートを利用して、米国の防衛産業関係者や人権擁護団体を攻撃しようとしました。
