長年にわたり、Macユーザーはアプリの安全性を担保するAppleの厳格な公証(notarization)プロセスのおかげで、安心感を得てきました。しかし、Jamf Threat LabsのAppleデバイスセキュリティ専門家による新たなレポートは、攻撃者が自分たちの悪意あるツールに対しても、その公式なお墨付きを得る方法を見つけつつあることを示しています。
研究者らは、MacSync Stealerと呼ばれるソフトウェアを追跡する中で、この手口を特定しました。これまで攻撃者は、ドラッグ&ターミナルのような「不格好」な手口やClickFixといった手法に頼っており、ユーザーにMacのターミナルへファイルを手動でドラッグさせたり、コード化されたコマンドを貼り付けさせたりして感染を引き起こしていました。今回見つかったバージョンは、こうした手動手順を完全に排除しているため、はるかに危険です。
デジタルの守りをすり抜ける
最新バージョンは、「zk-call」というチャットアプリの無害なインストーラーを装って侵入します。この攻撃が特に巧妙なのは、コード署名され、さらに公証(notarised)されていた点です。つまり攻撃者は、偽のDeveloper Team ID(GNJLS3UYZ4)を使い、Macにそのソフトウェアが正規のものだと信じ込ませたのです。
Hackread.comと共有されたJamfのブログ投稿によると、このファイルは大きくて無意味なPDFを大量に詰め込んで「膨らませ」、重厚でプロフェッショナルなアプリケーションに見せかけていたとのことです。
さらに調査を進めると、インストーラー(具体的にはzk-call-messenger-installer-3.9.2-lts.dmgというファイル)を開くと、隠されたスクリプトがバックグラウンドで動き始めることが判明しました。ただし、すぐに悪さを始めるわけではありません。研究者らは、マルウェアが検知を避けるために「スリーパーエージェント」のように振る舞うという、より広い傾向を反映していると指摘しています。
忍耐強い盗人
興味深いのは、MacSync Stealerが驚くほど「待つ」ことです。自身の活動を追跡するためにUserSyncWorker.logというログファイルを作成します。そして、直近1時間(3,600秒)以内にすでに実行されていることを確認すると、単にスリープします。この「スロットリング」により、セキュリティソフトが継続的で不審なデータの流れを検知しにくくなります。
最終目的はプライバシーへの直接的な攻撃で、ソフトウェアは特にlogin.keychain-dbを狙います。これは、Macがこれまで保存したあらゆるパスワードを保管しているマスターファイルです。内部に入り込むために、システムパスワードを求める偽のポップアップを表示する場合があります。したがって、新しいアプリをインストールした直後に、見覚えのないパスワード要求が出たら、それは重大な危険信号です。
Appleはその後、攻撃者が使用していたデジタル証明書を失効させましたが、この事例は、公証済みのアプリが必ずしも安全とは限らないことを示しています。
翻訳元: https://hackread.com/macsync-stealer-mac-app-saved-passwords/
