SentinelOneは1月15日(米国時間)、「The Many Faces of Undetected macOS InfoStealers|KeySteal, Atomic & CherryPie Continue to Adapt - SentinelOne」において、macOSを標的とする検出困難な情報窃取マルウェアについて伝えた。

  • The Many Faces of Undetected macOS InfoStealers|KeySteal、Atomic & CherryPie Continue to Adapt - SentinelOne

    The Many Faces of Undetected macOS InfoStealers|KeySteal, Atomic & CherryPie Continue to Adapt - SentinelOne

macOSで検出困難な3つのマルウェア

SentinelOneは、macOSにおいて検出を回避するマルウェアとして、「KeySteal」「Atomic Stealer」「CherryPie」を挙げている。XProtectは2023年2月にKeyStealの最後のシグネチャを登録しているが、このシグネチャでは現在配布されているKeyStealを検出できない。最新のKeyStealの配布方法は不明とされ、「UnixProject」や「ChatGPT」といった名前のマルチアーキテクチャバイナリとして確認できるという。

KeyStealにはコマンド&コントロール(C2: Command and Control)サーバを変更しないという欠点が存在するため、この点を使用して検出することが可能。ただし、将来的にコマンド&コントロールサーバをローテーションする可能性があり、それまでに別の検出方法の確立が望まれている。

Atomic Stealerのシグネチャは2024年1月に更新されたが、すでにXProtectで検出できないAtomic Stealerの存在が確認されている。この最新のAtomic StealerはC++で記述され、マルウェアの分析を妨害する機能を持つとされる。

CherryPie(別名:Gary Stealer、JaskaGo)はXProtectによる検出が可能で、現時点では保護されている。しかしながら、2023年9月に確認されたサンプルは、VirusTotalで検出することができない。また、分析や検出を妨害するための広範囲のロジックや、macOSのセキュリティ機能「Gatekeeper」を無効にする処理を持つとされる。

対策

AppleはmacOSを利用している顧客とシステムを保護するために、XProtectのシグネチャデータベースを更新する努力を継続している。それにもかかわらず、マルウェアの急速な進化により検出が回避され、いたちごっこの状態が続いている。SentinelOneはこの状況を打開するため、包括的な多層防御を実現する必要があると指摘している。

急速に進化するマルウェアに対抗するには静的シグネチャによる検出では不十分であり、エンドポイント検出応答(EDR: Endpoint Detection and Response)、プロアクティブな脅威ハンティング、強化された検出ルールなどを活用してマルウェアの先を行く必要がある。