日本のセキュリティソフトウェア企業であるトレンドマイクロは、スイスの銀行ユーザーを標的としていると思われる、macOSプラットフォーム向けの新たなマルウェアを検出しました。トレンドマイクロが「OSX_DOK」と名付けたこのマルウェアは、フィッシングキャンペーンを通じて拡散しました。
感染の始まり
マルウェア作成者はまず、マルウェアに感染した.zipまたは.docxファイルを含むフィッシングメールを被害者に送信します。ユーザーがファイルをクリックすると、ファイルを開けないことを示す警告ウィンドウが表示されます。
その後、マルウェアはシステム上のApp Storeを削除し、偽のmacOSアップデート画面を表示します。その後、通常はmacOSのアップデートに必要なパスワードを要求し、ルート権限で独自のコマンドを実行します。
ルート権限を取得すると、マルウェアは偽の証明書などの他のユーティリティのダウンロードを開始し、それをシステムにインストールして、被害者のインターネット トラフィックに対して中間者攻撃を実行します。
macOSのセキュリティ保護の回避
macOSはデフォルトで、「開発者」によって署名されたアプリケーションの実行を許可しますが、今回のケースでは、その開発者はダミーアカウント、あるいはMac App Storeの正規開発者から盗まれたアカウントである可能性があります。トレンドマイクロによると、証明書のタイムスタンプは新しいため、攻撃のために特別に取得された可能性があります。
偽の証明書は Comodo ルート証明書を模倣していますが、以下の比較に示すように、その有効性を証明する Comodo 証明機関のシールが含まれていません。
このマルウェアはChromeとFirefoxブラウザでは動作しませんでした。どちらも独自のルート証明書を使用しているためです。主要ブラウザの中で、macOSのルート証明書システムを使用しているのはSafariのみです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
銀行の認証情報の取得
このマルウェアは、ローカルホストのポート5555と5588で動作する2つのプロキシと、傍受したトラフィックをリダイレクトするためのTorユーティリティもインストールします。ただし、まずユーザーのIPアドレスがスイスのIPアドレスに該当するかどうかを確認し、該当するスイスのユーザーのトラフィックのみを傍受します。
トレンドマイクロは、マルウェアのコードの難読化を解除した結果、スイスの銀行の標的ドメインのリストがハードコードされていることを発見しました。被害者がこれらの銀行ウェブサイトにアクセスしようとすると、Tor匿名サービスでホストされているオンラインバンキングのログインページにリダイレクトされます。つまり、サーバの所在地は匿名です。攻撃者はこのようにしてユーザーの銀行認証情報を窃取し、ブラウザやシステム情報も収集します。
ヴェルドロドと「エメンタール作戦」
トレンドマイクロは、OSX.DOKの動作モードは、WERDLODと呼ばれるWindowsマルウェアの動作モードと非常に類似していると考えています。WERDLODは、「Operation Emmental」の一環として、スイス、オーストリア、スウェーデン、日本の銀行顧客も標的にしています。
Operation Emmentalは、ユーザーを騙して偽のAndroidアプリをインストールさせ、SMSベースの銀行トークンを傍受します。アプリは、ユーザーがオンラインバンキングサービスにログインしようとした際に銀行から自動的に送信されるSMSトークンを傍受します。この種の攻撃は、OSX_DOKマルウェアでは確認されていません。
macOSもマルウェアの被害に遭う可能性がある
macOSは最近まで、マルウェア作成者の標的としてそれほど多くありませんでした。これは主に、攻撃に見合うだけの市場シェアがなかったためです。しかし、Macユーザーベースが拡大し続けるにつれ、攻撃者にとってMacはより魅力的な標的プラットフォームとなりつつあります。特に、Windowsマルウェアの多くをmacOS向けに再利用するだけで済む場合、その傾向が顕著です。
トレンドマイクロのセキュリティ研究者は、送信者を信頼できない場合は添付ファイルをダウンロードしないようユーザーに推奨している。
