悪名高いMacマルウェアファミリーがこれまでになかった脆弱性を悪用して、macOSのセキュリティ防御を回避し、何の影響も受けずに動作していることが研究者によって明らかにされたのはちょうど1カ月ほど前だった。そして今、同じ研究者たちが、異なる脆弱性を利用した別のマルウェアがmacOSシステムに忍び込むことができると発表した。
Apple(アップル)デバイス管理を専門とするJamfによると「XCSSET」というマルウェアが、マイクやウェブカメラへのアクセス、画面の録画など、許可が必要なmacOSの一部に、許可を得ることなくアクセスできる脆弱性を悪用している証拠を発見したとのこと。
XCSSETは、Trend Microが2020年に最初に発見したApple開発者、特に彼らがアプリのコーディングやビルドに使用するXcodeプロジェクトを標的としたマルウェアだ。これらのアプリ開発プロジェクトを感染させることで、開発者たちは知らず知らずのうちにユーザーにマルウェアを配布してしまう。Trend Microの研究者たちはこれを「サプライチェーン的攻撃」と表現している。このマルウェアは継続的に開発されており、最近では新しいM1チップを搭載したMacをターゲットにしたものも存在する。
このマルウェアは、被害者のコンピュータ上で実行されると、2つのゼロデイを利用する。1つは、SafariブラウザーからCokkieを盗み、被害者のさまざまなオンラインアカウントにアクセスするもので、もう1つは、Safariの開発バージョンをこっそりインストールし、攻撃者がほぼすべてのウェブサイトを変更したり、そこから盗み見できるようにするものだ。
しかしJamfによると今回のマルウェアは、被害者の画面のスクリーンショットを密かに撮影するために、これまで発見されていなかった第3のゼロデイを悪用していたという。
macOSは、悪意のあるものであれそうでないものであれ、どんなアプリでも、画面の録画、マイクやウェブカメラ、またはユーザーのストレージにアクセスする前に、ユーザーに許可を求めることになっている。だがこのマルウェアは、正規アプリに悪意のあるコードを挿入することで認知されないように忍び込み、許可プロンプトを回避していた。
Jamfの研究者であるJaron Bradley(ジャロン・ブラッドリー)氏、Ferdous Saljooki(フェルドゥス・サリョーキ)氏、Stuart Ashenbrenner(スチュアート・アッシェンブレナー)氏は、TechCrunchと共有したブログ記事の中で、このマルウェアは、被害者のコンピュータ上でZoom(ズーム)、WhatsApp(ワッツアップ)、Slack(スラック)など、画面共有アクセス権が頻繁に与えられている他のアプリを検索し、それらのアプリに悪意のある画面録画コードを挿入すると説明している。これにより、悪意のあるコードが正規のアプリを「ピギーバック」し、macOS全体でそのアクセス権を継承する。そしてこのマルウェアは、macOSに内蔵されているセキュリティ保護機能のフラグが立たないように、新しい証明書を使用して新しいアプリバンドルを署名する。
研究者らは、このマルウェアが許可プロンプトのバイパスを「特にユーザーのデスクトップのスクリーンショットを撮影する目的で」使用したとしながらも、影響はスクリーンキャプチャに限定されないと警告している。言い換えれば、このバグを利用して、被害者のマイクやウェブカメラにアクセスしたり、パスワードやクレジットカード番号などのキーストロークを取得したりすることも可能だったということだ。
この手法でマルウェアが何台のMacを感染させることができたのかは不明だ。しかし、AppleはTechCrunchに対し、米国時間5月24日にアップデートとして提供されたmacOS 11.4でこのバグを修正したことを確認した。
関連記事
・macOSにマルウェアがセキュリティ保護を回避できるバグ(macOS 11.3で修正済み)
・さらばIE、25年以上にわたるセキュリティバグの思い出
カテゴリー:セキュリティ
タグ:macOS、マルウェア、Apple、ゼロデイ攻撃、スクリーンショット
画像クレジット:Made Kusuma Jaya / EyeEm / Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:Aya Nakazato)