マイクロソフトは、WizardUpdate(UpdateAgentまたはVigramとしても追跡されている)として知られるmacOSマルウェアの新しい亜種を発見し、回避策などを使用することを推奨しています。
UpdateAgentは、パブリッククラウドのインフラを悪用して追加のペイロードをホストし、ダウンロードしたファイルの検疫属性を削除することで、Macデバイス上で信頼できるアプリケーションのみが実行されるように設計されているGatekeeperを回避しようとします。
マイクロソフトのセキュリティ専門家は、2021年10月初めに発見された最新の亜種がドライブバイダウンロードで配布されている可能性が高く、1月に脅威インテリジェンス企業のConfiantがFlashインストーラにカモフラージュしているのを発見した時と同様に、正規のソフトウェアになりすましていることを発見しました。
WizardUpdateは2020年11月に最初の亜種が確認されてから、システム情報の収集と流出のみが可能であったため、開発者によって何度もアップデートされているようです。
10月にマイクロソフトの研究者が収集したサンプルには、以下の機能を含むいくつかのアップグレードが施されています。
- クラウドインフラストラクチャからダウンロードしたセカンダリペイロードを展開
- SQLiteを用いてLSQuarantineDataURLStringを列挙することにより、感染したMacのダウンロード履歴を完全に取得
- ダウンロードしたペイロードから検疫属性を削除することによるGatekeeperの回避
- PlistBuddyを使用したPLISTファイルの変更
- 既存のユーザプロファイルを利用したコマンドの実行
- 通常のユーザに管理者権限を与えるためのsudoersリストの変更
このトロイの木馬は2017年後半から活動しており、AppleのYARAシグネチャベースのXProtect内蔵アンチウイルスをすり抜けてMacを感染させることができることで知られるAdloadとして追跡されているマルウェアの亜種を含む、第2段階のマルウェアペイロードを展開します。
UpdateAgentは、パブリッククラウドのインフラを悪用して追加のペイロードをホストし、ダウンロードしたファイルの検疫属性を削除することでMacデバイス上で信頼できるアプリのみが実行されるように設計されているGatekeeperを回避しようとします。
また、既存のユーザー権限を利用して、感染したデバイス上にフォルダを作成します。
さらにPlistBuddyを使用して、LaunchAgent/LaunchDeamonのPlistを作成・変更し、永続化します。
WizardUpdateの開発者は、最新の亜種に回避機能も搭載しており、感染したMac上で作成されたフォルダやファイル、その他のアーティファクトを削除することで、その痕跡を隠すことができます
Mac上のマルウェアは “iOSよりもひどい”
WizardUpdateによって感染したMacに配信されるセカンドステージのペイロードの一つであるAdLoadは、Man-in-The-Middle(MiTM)ウェブプロキシを使用して、検索エンジンの結果をハイジャックしたり、金銭的な利益を得るためにウェブページに広告を注入したりもします。
また、LaunchAgentsやLaunchDaemonは、場合によっては2時間半ごとに実行されるように設定されたユーザーのcronjobを追加することで持続性を高めています。
SentinelOneの脅威研究者であるPhil Stokes氏は、WizardUpdateが初めて発見された2020年11月以降に行われたAdLoadキャンペーンを監視していたところ、数百のサンプルを発見しましたが、そのうち約150のサンプルは、Appleに内蔵されているアンチウイルスに検出されないものとのことでした。
Stokes氏が検出したサンプルの多くは、Appleが発行した有効なDeveloper ID証明書で署名されており、Gatekeeperのデフォルト設定で動作するように公証されているものもありました。
「WizardUpdate」と「AdLoad」は、現在はアドウェアやバンドルウェアを二次的なペイロードとしてのみ展開していますが、いつでもワイパーやランサムウェアなどのより危険なマルウェアに切り替えることが可能となっているようです。
Appleのソフトウェア部門の責任者であるクレイグ・フェデリギは、「最近のMac上のマルウェアは、我々が許容できないレベルであり、iOSよりもはるかに悪い動作をするものとなっている」と述べています。
Comments