新種のMacOSマルウェア、正規の開発者IDを悪用してApple純正クラッシュレポーターに偽装

新種のマルウェアがmacOSユーザーを標的に、Apple純正のクラッシュレポート機能になりすまし、被害者にパスワード窃取型ペイロードをインストールさせようとしていることが分かりました。

Jamf Threat Labsの詳細な報告によると、CrashStealerはmacOS向けのインフォスティーラーで、ログイン情報や暗号資産ウォレット、その他システムやブラウザに保存されているあらゆるデータを窃取するよう設計されています。

C++で記述されたCrashStealerは、7月上旬に初めて検出されました。Apple純正のクラッシュレポート機能になりすましたディスクイメージを通じて配布されます。

CrashStealerの攻撃チェーンがどのように始まるかについては詳細が明らかになっていませんが、少なくとも攻撃の第2段階では、ユーザーは署名済みでApple公証済みのドロッパーへと誘導されます。このドロッパーは「Werkbit Setup」という名前のディスクイメージとして配布されます。

重要な点として、このディスクイメージは有効なApple開発者IDと公証チケットで署名されており、これによって初回起動時のマルウェア実行を防ぐmacOSのセキュリティ機能「Gatekeeper」を通過できるようになっています。

ユーザーは、正規のソフトウェアインストーラーに見えるよう巧妙に作られたアプリケーションを実行するよう誘導されます。ユーザーが実際にインストールを実行すると、アプリケーションはGitHubのAPIにアクセスし、難読化されたスクリプトを取得します。このスクリプトが復号されるとダウンローダー兼インストーラーとなり、CrashStealerのペイロードを取得します。

研究者らは、このプロセスがApple純正のクラッシュレポート機能になりすますよう設計されたアプリケーションバンドルをディスクイメージが悪用することで助長されており、これによりマルウェアの検知回避がさらに容易になっていると指摘しています。

ログイン認証情報の窃取

インストールされると、このインフォスティーラーは、macOSの正規の認証要求に酷似したデザインのネイティブなパスワード入力画面を表示します。これは攻撃者が対象マシンの正しいシステムログイン認証情報を確実に窃取するための仕掛けです。

これが確認されると、CrashStealerは本来の目的へと動き始めます。すなわち、ブラウザに保存されているユーザー名・パスワードなどの認証情報を窃取するとともに、暗号資産ウォレットやパスワードマネージャー、その他のキーチェーンデータのログイン情報を盗み出し、攻撃者にアカウントへのアクセス権を与えます。

Jamf Threat Labsのシニア脅威・検知リサーチャーであるThijs Xhaflaire氏は、7月13日に公開されたブログ記事で次のように述べています。「CrashStealerの配布チェーンには、相当な工夫が凝らされています。素の署名なしルアーを使うのではなく、攻撃者はまず署名・公証済みのドロッパーを前面に立ててGatekeeperを突破させ、その後静かにペイロードを取得・再署名して起動させるのです」。

同氏はさらにこう付け加えています。「このマルウェアがありふれたスティーラー群と一線を画しているのは、何を収集するかという点よりも、その作り込み方にあります。収集したファイルをクライアント側でAES-GCM暗号化する点や、制御フローの平坦化、文字列の暗号化、多層的なアンチデバッグ機構による解析耐性を重視している点が特徴です」。

研究者らによれば、CrashStealerはAtomic(AMOS)MacSyncといった他のMacOSマルウェアといくつか類似点があるものの、ネイティブなC++実装とクライアント側暗号化という特徴により、これらとは異なる系統のマルウェアとして位置づけられるとしています。

Jamf Threat Labsは、悪意あるペイロードの配布に開発者チームIDが使用されていたことを確認した上で、この事実をAppleに報告しました。Infosecurity誌もAppleにコメントを求めています。

翻訳元: https://www.infosecurity-magazine.com/news/macos-malware-apple-crash-reporter/

ソース: infosecurity-magazine.com