macOS マルウェア キャンペーンでは斬新な配信手法が紹介されています

セキュリティ研究者らは、人気のソフトウェア製品のクラックコピーを使用してバックドアを macOS ユーザーに配布する新たなサイバー攻撃キャンペーンに警鐘を鳴らしています。

このキャンペーンは、今月初めに報告されたものなど、同様の戦術を採用した他の多くのキャンペーンと何が違うのか 中国のウェブサイトが関与している - その規模の大きさと、斬新な多段階ペイロード配信技術です。また、脅威アクターが、ビジネス ユーザーが興味を持つ可能性が高いタイトルを含むクラックされた macOS アプリを使用していることも注目に値します。そのため、ユーザーがダウンロードするものを制限していない組織も同様に危険にさらされる可能性があります。

カスペルスキーが最初に 発見して報告する その後、SentinelOne による悪意のあるアクティビティを分析したところ、マルウェアは「macOS アプリのトレントが蔓延」とセキュリティベンダーは述べています。

「私たちのデータは、VirusTotal 全体で出現した固有のサンプルの数と頻度に基づいています」と SentinelOne の脅威研究者である Phil Stokes 氏は述べています。 「このマルウェアが最初に発見されて以来、1 月に、同じ期間に追跡した他の macOS マルウェアよりも多くのこのユニークなサンプルを確認しました。」

SentinelOne が観察した Activator バックドアのサンプル数は、大規模なアフィリエイト ネットワークでサポートされている macOS アドウェアやバンドルウェア ローダー (Adload や Pirrit を思い浮かべてください) の量よりも多いと Stokes 氏は言います。 「感染したデバイスとそれを関連付けるデータはありませんが、VT への固有のアップロードの割合と、おとりとして使用されているさまざまなアプリケーションの多様性から、野外での感染が深刻になることが示唆されています。」

macOS ボットネットを構築していますか?

この活動の規模について考えられる説明の 1 つは、脅威アクターが macOS ボットネットを構築しようとしているということですが、現時点ではそれは単なる仮説にとどまるとストークス氏は言います。

Activator キャンペーンの背後にいる攻撃者は、マルウェアを配布するために 70 もの独自のクラックされた macOS アプリケーション (コピー保護が解除された「無料」アプリ) を使用しています。クラックされたアプリの多くには、職場環境で個人が興味を持つ可能性のあるビジネスに焦点を当てたタイトルが含まれています。サンプル: Snag It、Nisus Writer Express、およびエンジニアリング、建築、自動車設計、その他のユースケース向けのサーフェス モデリング ツールである Rhino-8。

「macOS.Bkdr.Activator によっておとりとして使用される、仕事に役立つツールがたくさんあります」と Stokes 氏は言います。 「ユーザーがダウンロードできるソフトウェアを制限していない雇用主は、ユーザーがバックドアに感染したアプリをダウンロードした場合にセキュリティ侵害の危険にさらされる可能性があります。」

クラックされたアプリを介してマルウェアを配布しようとする攻撃者は、通常、アプリ自体に悪意のあるコードとバックドアを埋め込みます。 Activator の場合、攻撃者はバックドアを配信するために多少異なる戦略を採用しました。  

別の配送方法

多くの macOS マルウェアの脅威とは異なり、Activator はクラックされたソフトウェア自体に実際には感染しません、と Stokes 氏は言います。代わりに、ユーザーはダウンロードしようとしているクラックされたアプリの使用できないバージョンと、2 つの悪意のある実行可能ファイルを含む「アクティベーター」アプリを入手します。ユーザーは、両方のアプリをアプリケーション フォルダーにコピーし、アクティベーター アプリを実行するように指示されます。

次に、アプリはユーザーに管理者パスワードの入力を求め、そのパスワードを使用して macOS の Gatekeeper 設定を無効にし、Apple の公式アプリ ストア以外のアプリケーションをデバイス上で実行できるようにします。その後、マルウェアは一連の悪意のあるアクションを開始し、最終的にはシステムの通知設定をオフにし、デバイスに Launch Agent をインストールします。 Activator バックドア自体は、他のマルウェアの第 1 段階のインストーラーおよびダウンローダーです。

多段階の配信プロセスにより、「クラックされたソフトウェアがユーザーに提供されますが、インストール プロセス中に被害者にバックドアが仕掛けられます」とストークス氏は言います。 「これは、ユーザーが後でクラックされたソフトウェアを削除することに決めたとしても、感染は除去されないことを意味します。」

カスペルスキーのマルウェアアナリストであるセルゲイ・プザン氏は、Activator キャンペーンの注目すべきもう 1 つの側面を指摘します。 「このキャンペーンでは、ディスク上にまったく表示されず、ローダー スクリプトから直接起動される Python バックドアが使用されています」と Puzan 氏は言います。 「pyinstaller などの『コンパイラー』を使用せずに Python スクリプトを使用することは、攻撃者が攻撃段階で Python インタープリターを実行するか、被害者に互換性のある Python バージョンがインストールされていることを確認する必要があるため、少し注意が必要です。」

また、Puzan 氏は、このキャンペーンの背後にある攻撃者の潜在的な目的の 1 つは、macOS ボットネットの構築であると考えています。しかし、カスペルスキーがアクティベータキャンペーンに関する報告を行って以来、同社は追加の活動を観察していないと同氏は付け加えた。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique