- Jamfの研究者が、Appleの「CrashReporter」を装う公証済みmacOS情報窃取マルウェア「CrashStealer」を発見
- 「Werkbit Setup」と称する偽サイト経由で配布され、Gatekeeperを回避してLaunchAgentをインストール
- 偽のパスワード入力画面でキーチェーンを解除させ、認証情報やCookie、ファイルに加え、暗号資産ウォレット80種とパスワードマネージャー14種のデータを窃取
Appleのクラッシュ報告ツールになりすました新たなmacOS情報窃取マルウェアが野生下で発見されたと、専門家が警告しています。
「CrashStealer」と名付けられたこのC++製の情報窃取マルウェアは、ログイン認証情報やキーチェーン情報のほか、80種類を超える暗号資産ウォレットに関連するデータを盗み出すよう設計されています。
セキュリティ研究者チームのJamfは、このマルウェアに関する詳細なレポートを公開し、CrashStealerは最近登録されたばかりの偽ソフトウェアサイトを通じて配布されている可能性が高いと指摘しています。
キーチェーンの解除
このサイトに(ソーシャルメディアでの紹介や検索エンジンの結果経由で)たどり着いた被害者は、ダウンロードを開始する前にPINコードを知る必要があります。これはおそらく、解析者による調査の目を逃れると同時に、信頼性や希少性を演出する目的で設けられたものと見られます。
通常、サードパーティのソースからダウンロードされたアプリは、Appleの標準セキュリティシステムであるGatekeeperによってスキャンされます。しかしJamfによると、このペイロードは署名済みかつApple公証済みのインストーラーとして配布され、「Werkbit Setup」という名前のディスクイメージとして提供されているため、警告なしにGatekeeperを回避できてしまうといいます。
このプログラムをダウンロードして実行すると、「CrashReporter.app」という名前のバイナリが展開され、LaunchAgent(「com.apple.crashreporter.helper」)が作成された上で、偽のmacOSパスワード入力画面が表示されます。
この入力画面によってユーザーのキーチェーン(パスワードや秘密鍵など、大半の機密情報が保存されている場所)が解除され、すべての情報がサードパーティのサーバーへと流出してしまいます。
CrashReporterマルウェアは、キーチェーンのデータに加えて、ほとんどのブラウザから認証情報やCookieを抜き取るほか、暗号資産ウォレット拡張機能80種、パスワードマネージャー14種、ローカルに保存されたファイルなどからもデータを収集します。
Jamfによれば、CrashReporterは既知の他の情報窃取マルウェア(例えばAMOSなど)とある程度共通点があるものの、クライアント側での暗号化メカニズムやネイティブC++実装という点で、依然として独自性を備えているとのことです。