セキュリティ企業カスペルスキーは、2019年にMacユーザーの10人に1人がShlayerトロイの木馬に感染し、ユーザーにFlashを更新する必要があるという偽のエラーメッセージの背後に隠れた悪質なアプリが蔓延したと述べている。
セキュリティ企業Kaperskyによると、MacはShlayerと呼ばれるトロイの木馬の頻繁な標的となっている。同社によると、このトロイの木馬は少なくとも2018年初頭から活動しているが、特に2019年にはmacOSに対する最も一般的な脅威となった。全Macの約10%がこのトロイの木馬による攻撃を受けており、ShlayerだけでもmacOSで検出されたトロイの木馬の30%を占めている。
Shlayerトロイの木馬は、様々なマルウェアペイロードを配信する仕組みです。Macに侵入すると、マシン自体に直接危害を与えることなく、他の悪意のあるコード(通常はアドウェア)を取得します。
ユーザーの観点から見ると、感染には3つの段階があります。まず、ユーザーがサイトへのリンクをクリックすると、ユーザーのMacにShlayerトロイの木馬がダウンロードされます。カスペルスキーのレポートによると、「数千ものウェブサイト」にこのダウンロードが含まれており、これは通常、これらのサイトがサイバー犯罪者と提携しているためです。
ただし、正当なサイトでもこれが追加される可能性があります。
カスペルスキーは報告書の中で、「(こうした攻撃には)動画の説明に悪意あるウェブサイトへのリンクが含まれていたYouTubeや、記事の参照部分にそのようなリンクが隠されていたWikipediaなどが含まれる」と述べている。
通常、リンクをクリックすると広告ページに移動し、ソフトウェアのダウンロードを促します。カスペルスキーによると、よくある手口はAdobe Flashが古くなっているという偽のメッセージを表示することです。「Flashをダウンロード」ボタンをクリックすると、実際にはトロイの木馬がダウンロードされます。
サイト上の偽のFlashアップデート通知。(出典:カスペルスキー)
ダウンロードが完了すると、ユーザーはアプリケーションのインストールを求められます。ただし、これはmacOSの通常のインストール手順とは異なります。ダブルクリックしてインストールするのではなく、まず右クリックして「パッケージを開く」を選択するように指示されます。
Shlayerトロイの木馬はインストールされると、アドウェアなどの悪意のあるアプリをダウンロードします。これらはMacにダウンロードされる新しいアプリであるため、理論上はユーザーの許可なしにインストールされることはありません。しかし、回避策があります。
Shlayerトロイの木馬がインストールするマルウェアの一つにSafari拡張機能があり、Macはそれを使用するかどうかを確認するメッセージを表示します。しかし、macOSが認識されない拡張機能であると警告しているにもかかわらず、Shlayerはそのメッセージの上に、インストールが完了したという偽のダイアログボックスを表示しています。
ユーザーは「OK」ボタンを見てクリックしますが、実際にはmacOSが表示した「信頼」ボタンをクリックしていることになります。つまり、Macにこのソフトウェアをインストールしても問題ないと伝え、インストールしてしまうのです。
最終段階として、現時点ではMacユーザーは広告の嵐に見舞われる可能性があります。また、表示されるターゲット広告によって、ブラウジングそのものが影響を受ける可能性があります。
「(2018年2月以降)我々はトロイの木馬の悪意あるサンプルを約3万2000件収集しました」とカスペルスキーは述べています。「Shlayerファミリーを研究した結果、macOSプラットフォームはサイバー犯罪者にとって格好の収益源となっていると結論づけられました。」
左:ユーザーが見ているもの。右:Macが実際に表示しているもの(出典:カスペルスキー)
注目すべきことに、カスペルスキー社によれば、このトロイの木馬はほぼ 2 年前に検出されたにもかかわらず、いまだに蔓延しているという。
「Shlayerが最初に発見されて以来、動作アルゴリズムはほとんど変わっておらず、活動もそれほど減少していません」と同社は続ける。「検出数は、マルウェアが発見されてから最初の数ヶ月と同レベルのままです。」
カスペルスキー社は、この特定のトロイの木馬はこれまでとほぼ同じレベルで動作していると報告していますが、2019 年 4 月の Malwarebytes の別のレポートでは、Mac マルウェア全体が大幅に増加していると主張しています。
