macOSシステムを標的とするMacSync情報窃取マルウェアの最新亜種は、デジタル署名され、公証(notarization)されたSwiftアプリケーションを通じて配布されています。
Appleデバイス管理プラットフォームJamfのセキュリティ研究者は、この配布方法は、より洗練されていない「ドラッグしてTerminalへ」やClickFixといった手口を用いていた過去の反復版からの大きな進化だと述べています。
研究者らは本日公開したレポートで、「https://zkcall.net/download を通じて配布される、zk-call-messenger-installer-3.9.2-lts.dmg という名前のディスクイメージ内の、コード署名および公証済みのSwiftアプリケーションとして提供されており、直接ターミナルを操作する必要がなくなっています」と述べています。
出典: Jamf
分析時点で、Jamfによれば最新のMacSync亜種は有効な署名を持ち、macOSのセキュリティシステムであるGatekeeperのチェックを回避できたとのことです。
Jamfは説明の中で、「ユニバーサルビルドであるMach-Oバイナリを調査した結果、コード署名および公証の両方が行われていることを確認しました。署名はDeveloper Team ID GNJLS3UYZ4に関連付けられています」と述べています。
しかし、証明書をAppleに直接報告したところ、現在は失効しています。
マルウェアは、エンコードされた形式のドロッパーによってシステムに投入されます。ペイロードをデコードした後、研究者らはMacSync Stealerに典型的な兆候を確認しました。
.jpg)
出典: Jamf
研究者らは、この窃取マルウェアには複数の回避機構があると指摘しています。具体的には、デコイPDFを埋め込むことでDMGファイルを25.5MBに膨らませること、実行チェーンで使用されたスクリプトを消去すること、サンドボックス環境を回避するために実行前にインターネット接続性チェックを行うことなどが含まれます。
出典: Jamf
この窃取マルウェアは、2025年4月に「Mentalpositive」と名乗る脅威アクターによりMac.Cとして登場しました。7月までに注目を集め、AMOS やOdysseyと並び、競合は比較的少ないものの依然として収益性の高いmacOS向けスティーラーの領域に加わりました。
MacPaw MoonlockによるMac.Cの以前の分析では、iCloudキーチェーンの認証情報、Webブラウザに保存されたパスワード、システムメタデータ、暗号資産ウォレットのデータ、そしてファイルシステム上のファイルを窃取できることが示されています。
興味深いことに、Mentalpositiveが9月に研究者g0njxaに対して行ったインタビューでは、macOS 10.14.5以降でより厳格なアプリ公証ポリシーが導入されたことが開発計画に最も強い影響を与えたとマルウェア作者が述べており、これは野外で確認された最新バージョンにも反映されています。
