セキュリティソフトウェア開発会社Malwarebytesは、2017年初のMacマルウェアと思われる事例を公開した。
これは非常に古いマルウェアのようです。つまり、それほど高度なものではなく、ごく少数のユーザーしか被害に遭わないほどよく知られた手法でマシンに感染しているということです。
Malwarebytesのレポートによると、このマルウェアは2つの要素、つまり隠しファイルと、そのファイルを起動させるユーザーアクションに依存しています。これは、一見正当なユーザーインターフェースを装い、ユーザーが期待していたものとは異なるマルウェアを強制的に起動させることで実現されます。
このマルウェアは、バイオメディカル研究機関を特に標的としているようで、一般大衆に危害を加えることを意図しているわけではありません。しかしながら、バックドアを開き、盗聴している者がスクリーンキャプチャ、システム稼働時間データ、マウスカーソルの位置といった基本的な情報を入手できてしまうため、深刻なセキュリティ侵害となります。
この情報は、サードパーティのサーバーを介してリスナーに目立たないように渡されるため、インターネット接続が必要です。この情報がリスナーに気づかれないように、コード内には特別なブール変数が組み込まれており、マルウェアアプリがDockに表示されないようになっています。
また注目すべきは、このマルウェアにはマウスカーソルの動きやクリック、そしてキーボードのキー入力をシミュレートするコードが含まれていることです。これらは、リスナーがアクセス権限を拡大したい時にリモートコントロールを行う手段のようです。稼働時間スケジュールを少し活用すれば、リスナーはユーザーが不在の時間帯を把握し、適切なタイミングで悪意のある行為を実行できる可能性があります。
報告によると、このコードは Linux ベースのマシンでも、Apple の macOS が稼働している Mac でも問題なく動作したとのことなので、2 つの異なるプラットフォームで実行可能であるようだ。
興味深いことに、Malwarebytesは、このマルウェアは非常に古風な攻撃手法を用いているため、熟練した目やマルウェア除去プログラムを使えば簡単に発見・除去できると指摘しています。とはいえ、このマルウェアは明らかにマルウェア対策が十分に行われていないマシンに感染しているため、対策を始めるべきかもしれません。
マルウェアのリバースエンジニアリングを実施した専門家は、このマルウェアがかなり前から、少なくともOS X Yosemite(2014年リリース)以降、活動していたことを示唆するコメントファイルを発見しました。このマルウェアがこれほど長い間気づかれなかった理由は、標的としたマシンがごく少数だったためと考えられます。もしより多くのマシンに存在していたら、もっと早く発見され、報告されていたかもしれません。
自宅のMacが、OSX.Backdoor.Quimitchin(他の部族に潜入して情報収集を行ったことで知られるアステカのスパイにちなんで名付けられた)と呼ばれるこのマルウェアに感染している可能性は非常に低いでしょう。しかし、他の不正マルウェアがあなたのマシンに感染しないというわけではありません。ダウンロードする際には常に注意が必要です。
