正規の署名済みアプリケーションを装う、新たに特定されたmacOSマルウェアのサンプルが、定常的な脅威監視の過程で発見された。
このマルウェアはMacSync Stealerの改変版で、従来の配布手法から離れ、より静かで自動化されたインストールプロセスを採用している。
このサンプルは、内部YARAルールによってトリガーされたアラートを確認していた際に、Jamf Threat Labsが検出した。
分析から得られた技術的所見
ClickFixやターミナルベースの手口によるユーザー操作に依存していた従来のMacSync Stealer亜種とは異なり、このバージョンはAppleによってコード署名および公証(notarized)されたSwiftアプリケーションとして配布される。メッセージングアプリのインストーラーを装ったディスクイメージ内で配布され、コマンドライン操作は不要だ。
起動すると、アプリケーションはリモートサーバーからエンコードされたスクリプトを密かに取得し、ヘルパーコンポーネントを介して実行する。Jamfは、同様の手法が近頃、Odysseyの新しいバージョンを含む他のmacOS情報窃取型マルウェアでも見られるようになっていると指摘した。
署名済みであるにもかかわらず、インストーラーは依然として、右クリックして「開く」を選択するよう促す手順を表示していた。これはGatekeeperの警告を回避するために一般的に用いられる手口だ。
調査により、このアプリケーションはユニバーサルMach-Oバイナリとしてビルドされており、発見時点では失効していなかった開発者証明書で署名されていたことが確認された。
ディスクイメージは25.5MBという異常に大きなサイズが目立ち、無関係なPDF文書などのおとりファイルで水増しされていた。
検出率にはばらつきがあった。VirusTotalにアップロードされた一部のサンプルは1つのセキュリティエンジンにしか検知されなかった一方、別のサンプルは最大13件で検知された。多くの検知はファイルを汎用的なダウンローダーとして分類していた。
macOSマルウェアの配布について詳しく読む:新たなFlexibleFerretマルウェアチェーンがGo製バックドアでmacOSを標的に
Jamfは後に関連する開発者証明書をAppleに報告し、Appleはそれを失効させた。
ドロッパーの動作
Swiftベースのドロッパーは、ペイロードを実行する前に次のような複数のチェックを行う:
-
処理を進める前にインターネット接続を確認する
-
最小実行間隔を約3600秒に強制する
-
検知回避を目的に改変されたcurlコマンドを用いてペイロードをダウンロードする
-
実行前に隔離属性を削除し、ファイルを検証する
このマルウェアは主にメモリ上で動作し、実行後に一時ファイルをクリーンアップして痕跡を最小限に抑える。第2段階のペイロードが展開されると、その挙動は従来のMacSync Stealerキャンペーンと同様になる。
「MacSync Stealer自体はまったく新しいものではないが、この事例は、その作者が配布手法を進化させ続けていることを示している」 とJamf Threat Labsは述べた。
「この配布の変化は、macOSマルウェアの状況全体におけるより広範な傾向を反映している。攻撃者は、署名および公証された実行ファイルにマルウェアを紛れ込ませ、正規アプリケーションのように見せかけようとする試みを強めている。これらの手法を活用することで、敵対者は早期に検知される可能性を下げる。」
画像クレジット:Nanain / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/signed-variant-macsync-stealer/
