セキュリティ研究者らは、「MacDownloader」と呼ばれるmacOS向けの新たなマルウェアを発見した。これは、米国の防衛産業に関わる個人や企業を攻撃するためにイランのハッカーによって作成されたと考えられている。
イラン発のオンライン脅威を分析している研究者、クラウディオ・グアルニエリ氏とコリン・アンダーソン氏は、米国の航空宇宙企業「ユナイテッド・テクノロジーズ・コーポレーション」を装ったウェブサイトでこのマルウェアを発見した。ロッキード・マーティン、シエラネバダ・コーポレーション、ボーイングといった企業名を冠したこのウェブサイトは、「特別プログラムとコース」を提供すると主張し、潜在的な防衛関連企業の標的を誘致しようとしていた。
この偽サイトは、Windowsマルウェアを被害者のシステムに拡散させようとした以前のスピアフィッシング攻撃でも使用されていました。「イランの攻撃者によって管理されている」とみられるこのホストは、歯科医院や米空軍の訓練ページを装った偽サイトなど、他のフィッシング攻撃にも利用されていました。
現在の偽サイトにアクセスすると、検出されたオペレーティングシステムに応じて、WindowsまたはmacOS向けのマルウェアが提供されます。MacDownloaderの場合、偽のAdobe Flash Playerダイアログが表示され、Flash Playerの更新を促すか、ウィンドウを閉じるように促されます。
アップデートを承認すると、「Bitdefenderによるアドウェア削除ツール」と称する2つ目のダイアログが表示され、アドウェアの検索を促されます。研究者らは、MacDownloaderは元々は偽のウイルス削除ツールとして設計されたが、別のソーシャルエンジニアリングの一環として、偽のFlash Playerアップデートとして再パッケージ化されたと示唆しています。
インストールされると、マルウェアは感染したMacからデータを収集し、ユーザーのキーチェーンなどを攻撃者のサーバーに送信します。また、偽のシステム環境設定ダイアログを表示してユーザー名とパスワードを取得し、暗号化されたキーチェーンデータにアクセスしようとすることもあります。
研究者らは、このコードはハッカーによって「粗雑に開発」されており、「アマチュア開発者による初めての試み」である可能性が高いと指摘しています。スペルや文法の問題、ダイアログボックスのFlashからBitdefenderへの変更に加え、このマルウェアの背後にあるコードは、リモートファイルをダウンロードするという単純なタスクのための「チートシート」のコードを使用するなど、他のソースからコピーされたと主張されています。
コードからは、開発者が当初、起動時に自動的に実行され、ファイルをダウンロードし、新しいコマンドを実行できる永続的なプロセスをインストールすることを意図していたことも明らかになりました。この「実装が不十分なシェルスクリプト」はマルウェアでは使用されず、代わりにAppleのCore Servicesフレームワークを使用してリモートサーバー呼び出しが行われます。
「インフラとコードの状態を観察した結果、これらのインシデントはエージェントを展開する最初の試みであり、永続化などの機能は機能していないようだ」と研究者らは述べている。「むしろ、MacDownloaderはより広範な野望を持つ、単純な情報抽出エージェントである。」
このマルウェアは米国の防衛産業を標的にしているほか、人権擁護団体への攻撃にも使用されたと報じられており、将来的には国家支援ハッカーの関心を引く可能性のある他のコミュニティへの攻撃にも使用される可能性があることを示唆している。
Windowsは企業や個人で広く利用されているため、マルウェア攻撃の主な標的と考えられていますが、研究者らは、人権やセキュリティに関わるコミュニティは、代わりにAppleデバイスを使用する傾向があると指摘しています。研究者らは、イランでの活動に重点を置くこれらのコミュニティは「Appleデバイスに強く依存している」と主張しています。
Windowsに比べてMacは少数派プラットフォームであるため、攻撃に対するある程度の防御力は確保されているものの、そうした攻撃を阻止するための対策も強化されている。Googleなどのテクノロジー企業に倣い、Appleは昨年、バグ報奨金プログラムを開始し、同社のOSの脆弱性を発見した人に報奨金を提供している。
