Jamfは1月18日(米国時間)、「Jamf Threat Labs Discovers Pirated macOS Apps Similar to ZuRu Malware」において、海賊版アプリケーションに埋め込まれたmacOSを標的とする新しいマルウェアを発見したと報じた。このマルウェアは2021年に発見された「ZuRu」と類似点があり、その亜種の可能性があると指摘している。

  • Jamf Threat Labs Discovers Pirated macOS Apps Similar to ZuRu Malware

    Jamf Threat Labs Discovers Pirated macOS Apps Similar to ZuRu Malware

macOS狙うマルウェア発見の経緯

Jamfの研究者によると、このマルウェアはさまざまな脅威アラートを分類している際に発見したという。発見されたマルウェアは「.fseventsd」というファイル名の実行可能ファイルで、隠しファイル名(ピリオドで始まる)とオペレーティングシステムに組み込まれたプロセス名を使用している。また、Appleによって署名されておらず、調査時点ではVirusTotalに登録されていなかったという。

研究者は追加の調査により、.fseventsdがDMGファイルの一部としてアップロードされたファイルであることを確認。VirusTotalを使用して同様のファイルを検索し、3つの海賊版アプリケーションを発見している。また、インターネット上でこれら海賊版アプリケーションを検索したところ、中国の海賊版アプリケーション配布サイト「macyy[.]cn」にてホストされていることが判明したという。研究者はこの調査の過程において、このマルウェアと同じような方法でトロイの木馬化された別の2つのアプリケーションも発見している。

  • 発見された海賊版アプリケーションのDMGファイル名とハッシュ値 - 提供:Jamf

    発見された海賊版アプリケーションのDMGファイル名とハッシュ値 引用:Jamf

マルウェアの分析結果

発見されたマルウェアを含む海賊版アプリケーションは、いずれも同様の手順でシステムを侵害するとみられる。Jamfの研究者は発見した海賊版アプリケーションのうち、「FinalShell.dmg」の例を挙げて解説している。Jamfの研究者によると、この悪意のあるDMGファイルは正規のFinalShellと異なり、実行時に追加のライブラリ「libpng.dylib」を読み込むという。このライブラリはアプリケーションが開かれるたびに読み込まれるため、永続化としての役割を持つ。

libpng.dylibは読み込まれると「download[.]finalshell[.]cc」から「bd.log」と「fl01.log」をダウンロードする。これらファイルはいずれも独自の方法でエンコードされているが、デコードしてから保存される。これらファイルのうち1つはオープンソースの「GitHub - geemion/Khepri: Free,Open-Source,Cross-platform agent and Post-exploiton tool written in Golang and C++.」をもとに開発された本格的なバックドアとされる。

もう1つは攻撃者が管理するサーバから追加のペイロードをダウンロードして実行する機能を持つ。前述のKhepriも同様の機能を持つが、アプリケーションを実行する必要があるのに対し、こちらはシステムの起動時に実行されるため常に機能するという。

対策

このマルウェアは海賊版アプリケーションとして配布されているため、実行時に警告が表示される。しかしながら、ユーザーは「海賊版」と正しく認識しているため、この警告を気にしないという問題がある。このため、オペレーティングシステムに組み込まれているセキュリティ機能はユーザーに無視され、有効に作用しない。

このような状況で侵害を防止するには、このマルウェアを検出可能なセキュリティソリューションを導入する必要がある。しかしながら、このマルウェアはVirusTotalに登録がないことからシグネチャによる静的検出は難しく、従来のセキュリティソリューションでは同様の攻撃を阻止できない可能性がある。

このような攻撃を回避するには、海賊版アプリケーションを使用しないことが確実な対策となる。法的に問題のある海賊版アプリケーションの使用は避け、公式サイトから正規の手続きを経てダウンロードし、利用することが望まれている。