セキュリティ研究者らが、Mac を狙った新たなランサムウェアを発見した。Swift で作成された「コードが不十分な」このマルウェアは、ユーザーのファイルを暗号化して身代金を要求するが、身代金を支払ってもファイルを復号化することは不可能である。
BitTorrentサイト経由で流通し、「Patcher」と呼ばれるこのマルウェアは、海賊版業者が一般的なソフトウェアスイートで使用されているコピープロテクトやライセンスシステムを回避するためのクラックを装っています。研究者のMarc-Etienne M.Lveill氏は、Microsoft Office for Mac 2016とAdobe Premiere Pro CC 2017のロックを解除する方法を装う、同じコードを使用した2つの異なる偽のPatcherを発見しましたが、このマルウェアが異なる名前で流通している事例が他にも存在する可能性を示唆しています。
アーカイブから解凍して実行されると、マルウェアは海賊版ソフトウェアにパッチを適用するために「スタート」ボタンを押すようユーザーに促すウィンドウを開きます。クリックすると、ランサムウェアは「readme」ファイルを様々なユーザーディレクトリに拡散し、その後、アーカイブ内のランダムに生成された25文字のキーを使用して他のすべてのユーザーファイルを暗号化し、元のファイルを削除します。
Readmeファイルには、ファイルが暗号化されており、7日以内にロックを解除するには特定のウォレットアドレスに0.25ビットコインを支払う必要があると説明されています。支払いから24時間以内にファイルが復号されると謳われていますが、0.45ビットコインを支払うという別の選択肢も提供されており、その場合は10分以内に復号できると謳われています。
研究者は、このマルウェアはいくつかの点で「全体的にコードが不適切」だと指摘しています。Swiftで作成されたこのアプリケーションのウィンドウは、閉じた状態では開くことができません。また、ディスクユーティリティを使ってルートパーティションの空き容量をゼロにしようとするコードは、ツールへのパスが間違っています。
Readmeファイル内の詳細はハードコードされており、感染者ごとに異なる情報ではなく、すべての被害者に同じビットコインウォレットとメールアドレスが提示されます。報告時点でビットコインウォレットを調査したところ、まだ取引が行われていないことが判明しており、これは作成者の身代金を支払った者がいないことを意味します。
他の多くの暗号化型ランサムウェアとは異なり、身代金を支払ったとしても、被害者は復号によってファイルを回復することはできない点が注目されます。このマルウェアには、操作者に鍵を送信するコードが含まれていないため、ユーザーにファイルを復号する「サービス」を提供する可能性はありません。また、鍵の長さから、ブルートフォース攻撃の実行には時間がかかりすぎると考えられます。
「macOS専用に設計されたこの新たな暗号化ランサムウェアは、傑作とは言えない」とルヴェイル氏は記している。「残念ながら、被害者が自身のファイルにアクセスできなくなるほどの威力があり、深刻な被害をもたらす可能性がある。」
Lveill 氏は、同様の脅威から身を守るために、すべての重要なデータの最新のオフライン バックアップとセキュリティ ソフトウェアの使用を推奨しています。
「Patcher」は、最近発見されたmacOSユーザーを狙った一連のマルウェアの最新版です。先月だけでも、Adobe Flash PlayerのアップデートやMicrosoft Wordのマクロを装ったマルウェアが人権団体や米国防衛産業の関係者を標的にしていることが判明しており、ロシアのハッキンググループが作成したとされるXagentマルウェアパッケージも確認されています。
