マルコム・オーウェン
· 1分で読めます
「JokerSpy」と呼ばれる新しい奇妙なmacOSマルウェアが特定され、その最初の既知のバックドアが暗号通貨取引所を襲った。
Macを狙う脅威はWindowsに比べると比較的少ないものの、macOSが標的となる事例は増加傾向にあります。新たな発見により、バックドアを作成するマルウェアが新たな脅威リストに追加されたようです。
Bitdefenderの研究者によって最初に報告され、Elastic Security Labsによる独自の調査も行われたJokerSpyと呼ばれるマルウェアは、サンプルの不足もあって、まだ比較的よく知られていません。現在、BitDefenderは合計4つのサンプルに取り組んでおり、Easticは「日本の著名な仮想通貨取引所」への侵入に焦点を当てています。
マルウェアの構築には、「xcc」と呼ばれるバイナリが使用されます。このバイナリには、x86 IntelおよびARM M1アーキテクチャ用のMach-Oファイルが含まれており、理論的にはIntelおよびApple Silicon搭載Macで動作可能です。このファイルは、Appleの透明性、同意、および制御システムによって管理されている権限をチェックします。
検出を回避するために既存のTCCデータベースをコピーした後、xcc実行ファイルが実行され、Pythonベースのバックドアが作成され、システム情報を収集して攻撃者に送り返しました。プラグインやその他のペイロードを使用することで、システムに対する制御をさらに強化できる可能性があります。
5月下旬の侵害に続き、6月1日に新たなPythonツールがインストールされ、Swiftbeltと呼ばれるエクスプロイト後の列挙ツールが実行されました。
対象となる事例が非常に少なく、取引所のハッカーが以前にも標的のシステムにアクセスしていたと考えられることから、何らかの形ですでにアクセスしていた場合を除いて、どのようにしてマルウェアが標的の Mac に侵入できたのかは不明です。
そもそも誰がこのマルウェアを作成したのかも不明だが、暗号通貨取引所を標的としているため、一般ユーザーが陥りやすい攻撃ではなく、非常に高度な攻撃である可能性がある。
予防こそが道
入手可能な証拠が限られていることから、高価値ターゲットを除き、現時点では平均的な Mac ユーザーが JokerSpy に遭遇する可能性は低いと思われます。
AppleInsiderは、Appleが定期的にセキュリティ修正を盛り込んでいることもあって、MacユーザーにはmacOSのアップデートを常に最新の状態に保つことを推奨しています。また、ユーザーは、サイトやダウンロードの信頼性を認識し、個人情報の発信を制限し、利用可能なセキュリティオプションを可能な限り利用するなど、オンライン上での健全な行動をとるべきです。
