Mac OS環境でもマルウェアが発見される

Mac OSはWindows OSと違ってマルウェアやウィルスに感染しない、以前はそのように言われたこともありました。ですがそれはもう昔の話です。Mac OS環境でも色々なマルウェアが発見されています。今回はMac OS用のマルウェアについてご紹介します。

セキュリティソリューションのように偽装した「カリスト」


まず一つ目は、プロトン(Proton)マルウェアに属する、初期バージョンのマルウェアです。

このプロトンの別種マルウェアは「カリスト(Calisto)」と呼ばれます。海外のサイバーセキュリティ専門家により分析されたカリスト設置ファイルは不鮮明なDMGファイルで、Mac用のセキュリティソフトウェアのように偽造されていました。

今のところ、カリストによって実際に攻撃が行われた様子はないようです。しかし、プロトンの別バージョンがちらほら現れているようで、全てがセキュリティソリューションのように偽造されている、とセキュリティ専門家は説明します。Mac OS環境でセキュリティソリューションをダウンロードする場合には、必ず細部まで細かくチェックする必要があります。

偽造されたセキュリティソリューションをインストールすると、偽造ライセンス等の内容が記されたウィンドウが最初に現れます。その次にソフトウェアによりシステム変更が行われ、ユーザー名とパスワードを入力するウィンドウが表示されます。もちろん、この情報はサイバー攻撃者の元へ送信されます。

しかし、インストール作業は最後まで完了しません。必ず途中でエラーが発生し、ユーザーに別のパッケージをダウンロードするようにと推奨します。このパッケージは、実際にMac用セキュリティソフトウェア会社が開発した、正式なセキュリティソリューションです。過程がどうであれ、結果的には「本物」のセキュリティソリューションがインストールされるので、ユーザーは異常に気付けません。

カリスト、またはプロトンは、ユーザーのパスワードが記された平文ファイルをどこかに残す、という特徴があります。そして、次のサイバー攻撃者がコンピューターに侵入する時、その情報を使用できるようになります。

プロトンマルウェアは2017年に猛威を振るったマルウェアです。DVDエンコードツールである「ハンドブレイク(HandBrake)」と、Mac用動画プレーヤーである「エルメディアプレーヤー(ElMedia Player)」のインストールファイルが、プロトンに置き換えられて配布されるというサプライチェーン攻撃を通じて、多くの被害が報告されました。

暗号化トラフィックを盗み、広告を表示させるマルウェア


二つ目のマルウェアは、暗号化されたウェブトラフィックに広告を挿入する機能を持っています。

このマルウェアは「OSX.SearchAwesome」という名前で検知されました。トレントファイルを通じてダウンロードされ、悪性インストールファイルの形態で広がっています。このインストールファイルはディスクイメージファイルで、「正常ファイル」のように見せかける為の偽造機能が1つも無い、という特徴があります。

このファイルを実行すると、分からないように複数のソースをインストールし、ユーザーに「証明書信頼設定(Certificate Trust Settings)」を変更出来る権限を要請します。SPIという要素を通じて、ネットワーク環境設定の内容を変える為です。

こうしてシステムにインストールされるのはアドウェアです。広告がずっと表示されるようになるプログラムというわけです。しかし普通のアドウェアのように、半強制的にずっと広告が表示される訳ではありません。ユーザーがオフにすることが出来ます。しかしながら、該当システムに再度ログインすると、また表示されるようになります。

追加で別のプログラムが追加でインストールされる事もあります。アドウェアが削除されたのかを監視する機能を持っており、OSX.SearchAwesomeが削除されると、このマルウェアと関連する他のソースも削除されます。

OSX.SearchAwesomeがインストールするものは、他にもあります。オープンソースプログラムであるmitmproxyも一緒にインストールします。mitmproxyはウェブトラフィックを盗み監視、ねつ造する機能を持っています。サイバー攻撃者達はこのプログラムを悪用し、暗号化されたトラフィックと、暗号化されていないトラフィック両方に対して中間者攻撃(man in the middle attack、MITM)を実行します。

ここまで攻撃が進行すると、サイバー攻撃者は証明書の信頼設定の操作や、mitmproxyを使用しトラフィックを変更する事も可能となります。また、被害を受けたシステムがmitmproxy証明書を信頼するように設定しておく為、OSX.SearchAwesomeはHTTPSトラフィックへ接近出来るようになります。これを活用し、OSX.SearchAwesomeは被害者が訪問した全てのウェブページへJavaScriptを挿入し、このスクリプトは悪性ウェブサイトからローディングされます。

現時点では、このアドウェアは特別これと言った攻撃的な特徴は無いように見えます。結局、広告が一時的に表示されるようにするだけです。しかし、外部からスクリプトがローディングされるという点に注意が必要です。サイバー攻撃者が今は広告だけを表示させていますが、このスクリプトを通じて広告以外の悪性コンテンツをローディングさせる恐れがあるからです。「潜在的な危険性」が非常に高い、と言えます。

Mac OSだから安心というのは間違いで、OSに関係なく、OSは常に最新版にアップデートする、ソフトウェアを最新版にする等の基本的なセキュリティ意識を持つことが重要です。