はじめに
Microsoft Threat Intelligenceは、XCSSET macOSマルウェアの新たな亜種が限定的な攻撃で検出されたと報告しました。この亜種には、ブラウザターゲットの強化、クリップボードハイジャック、永続化メカニズムの改善など、いくつかの新機能が組み込まれています。
XCSSETマルウェアの概要
XCSSETは、感染したデバイスからNotes、仮想通貨ウォレット、ブラウザデータなどを窃取する、モジュール式のmacOSマルウェアです。これは情報窃取および仮想通貨窃取マルウェアとして機能します。このマルウェアは、デバイス上で見つかった他のXcodeプロジェクトを検索して感染させることで拡散し、プロジェクトがビルドされるとマルウェアが実行される仕組みです。
Microsoftは、「XCSSETマルウェアは、通常ソフトウェア開発者が使用するXcodeプロジェクトに感染するように設計されており、Xcodeプロジェクトがビルドされる際に実行されます」と説明しています。「この感染および伝播モードは、AppleまたはmacOS関連のアプリケーションを構築する開発者の間でプロジェクトファイルが共有されることを前提としていると評価しています。」
新たな亜種の特徴
Microsoftが観測した新たな亜種には、いくつかの変更点があります。
-
Firefoxブラウザデータの窃取: オープンソースのHackBrowserDataツールの改変版をインストールすることで、Firefoxブラウザデータの窃取を試みます。このツールは、ブラウザデータストアからブラウザデータを復号化およびエクスポートするために使用されます。
-
クリップボードハイジャックの更新: macOSのクリップボードを監視し、仮想通貨アドレスに関連する正規表現パターンを検出します。仮想通貨アドレスが検出されると、攻撃者のアドレスに置き換えられます。これにより、感染したデバイスのユーザーが送信した仮想通貨は、攻撃者に送られてしまいます。
-
新たな永続化メカニズム:
~/.rootペイロードを実行するLaunchDaemonエントリを作成したり、/tmpに偽のSystem Settings.appを作成して活動を偽装したりするなど、新たな永続化手法が含まれています。
現状と対策
この新たな亜種はまだ広く拡散しておらず、Microsoftは限定的な攻撃でのみ観測されていると報告しています。研究者たちはAppleと調査結果を共有し、関連するリポジトリを削除するためにGitHubと協力しています。
この種のマルウェアから保護するために、以下の対策が推奨されます。
-
macOSとアプリケーションを常に最新の状態に保つ: XCSSETは以前にもゼロデイ脆弱性を含む脆弱性を悪用したことがあるため、特に重要です。
-
Xcodeプロジェクトの検査: 開発者は、特に他のユーザーと共有されたXcodeプロジェクトをビルドする前に、常にその内容を検査することが推奨されます。