マイク・ワーテル
· 2分で読めます
今週、Macを標的とした2つ目のマルウェアが発見されました。これはmacOSキーチェーンに保存されているパスワードを漏洩する可能性のあるものです。しかし、今回もAppleのGatekeeperセキュリティが適切に設定されていれば、この攻撃は阻止されます。
セキュリティ企業ESETの研究者らは、出所不明のOS Xマルウェアの新種を調査しており、いわゆる「OSX/Keydnap」パッケージの詳細を公開した。
このマルウェアは.zip圧縮アーカイブとして配布され、テキストファイルまたはアイコン付きのJPG画像に偽装されたパッケージが含まれています。ただし、ファイル名の末尾にスペースが含まれているため、デフォルトではmacOSターミナルでMach-O実行ファイルが開かれます。
ファイルをダブルクリックすると、ドックにターミナルアイコンが表示され、すぐに閉じます。この時点でGatekeeperが有効な場合、セキュリティメカニズムによって、ファイルが未確認の開発元によるものであるという警告がユーザーに表示され、起動がブロックされます。
ユーザーが Gatekeeper をソースに関係なくすべてのソフトウェアを実行するように設定している場合、マルウェアは再起動のたびに実行されるバックドア コンポーネントをダウンロードして実行し、ユーザーがクリックした Mach-O 実行ファイルをおとりのグラフィックまたはテキスト ファイルに置き換えて、おとりのドキュメントをプレビューで開きます。
マルウェアは、別のアプリケーションが起動するまで待機し、ユーザーの資格情報を求めるダイアログをポップアップ表示して、ルートアクセスを取得しようとします。
ルートアクセスが許可されると、コマンド&コントロールサーバーの所有者はOSX/Keydnapを使用して、ユーザーのキーチェーンの復号鍵を探し出し、保存されているパスワードをアップロードすることができます。キーチェーンに保存されるパスワードには、システムパスワードだけでなく、銀行の認証情報、Gmailのパスワード、Amazonのログイン情報など、インターネットベースのサービスのログイン情報も含まれます。
Gatekeeperを補完するために、Little Snitchのようなインターネット接続監視アプリケーションを使用することで、インターネットへの送受信を検査し、今回のマルウェアコンポーネントのダウンロードなど、望ましくない通信をブロックすることができます。BlockBlockのようなユーティリティは、マルウェアインストーラーにとって不可欠な永続コンポーネントのインストールを継続的に監視できます。
OSX/Keydnapパッケージの公開は、1週間で2件目のMacマルウェアの公開となります。7月6日にはBackdoor.Mac.Eleanorが発見されましたが、これもAppleが提供するセキュリティソフトウェアを適切に設定するか、ユーザーが攻撃経路を認識していれば容易に防ぐことができます。AppleInsiderは、AppleのXprotectがアップデートされているかどうかを確認するために、このマルウェアのサンプルを入手できませんでした。
ESETの研究者たちは、このマルウェアがどのように拡散したかは不明だが、スパムメールの添付ファイルである可能性が高いと述べている。また、アクティブな感染者数は把握していない。調査中に発見された囮画像は、セキュリティ研究者がこのマルウェアの標的となっている可能性を示唆している。
