コンテンツにスキップ
マックミステリー
ペイロードがないため、アナリストたちはこの成熟したマルウェアが何をするのかを解明するのに苦労しています。
世界中で約3万台のMacで発見された、これまで検出されていなかったマルウェアがセキュリティ関係者の間で注目を集めており、セキュリティ研究者たちは、それが何をするのか、自己破壊機能が何の目的を果たすのかをいまだに正確に理解しようとしている。
感染したMacは1時間に1回、制御サーバーをチェックし、マルウェアが実行すべき新しいコマンドやバイナリがあるかどうかを確認します。しかしながら、研究者たちは感染した3万台のマシンのいずれにもペイロードの配信を確認できておらず、マルウェアの最終的な目的は不明です。最終的なペイロードが存在しないことから、マルウェアは未知の条件が満たされるとすぐに活動を開始する可能性があることが示唆されます。
さらに興味深いのは、このマルウェアには自身を完全に削除するメカニズムが搭載されていることです。これは通常、高度なステルス性を必要とする攻撃にのみ用いられる機能です。しかしながら、今のところこの自己破壊機能が使用された形跡は見られず、なぜこのようなメカニズムが存在するのかという疑問が生じます。
これらの疑問に加え、このマルウェアは、Appleが11月に発表したM1チップ上でネイティブに動作するバージョンがあることで注目に値します。これは、macOSを標的としたマルウェアとしては2例目となります。さらに、この悪意のあるバイナリは、コマンド実行にmacOSインストーラのJavaScript APIを使用しているため、さらに謎に包まれています。そのため、インストールパッケージの内容や、そのパッケージがJavaScriptコマンドをどのように使用しているかを分析することは困難です。
このマルウェアは153カ国で発見されており、特に米国、英国、カナダ、フランス、ドイツで検出が集中しています。Amazon Web ServicesとAkamaiコンテンツ配信ネットワークを利用することで、コマンドインフラストラクチャの信頼性が確保され、サーバーのブロックが困難になっています。このマルウェアを発見したセキュリティ企業Red Canaryの研究者は、このマルウェアを「Silver Sparrow」と呼んでいます。
かなり深刻な脅威
「Silver Sparrowが新たな悪意あるペイロードを配信する様子はまだ確認されていませんが、M1チップとの互換性、世界的な広がり、比較的高い感染率、そして運用の成熟度といった点から、Silver Sparrowはかなり深刻な脅威であり、影響力のあるペイロードを瞬時に配信できる独自の立場にあると考えられます」と、Red Canaryの研究者は金曜日に公開したブログ記事に記しています。「これらの懸念事項を踏まえ、透明性を第一に、情報セキュリティ業界全体と、私たちが知っていることのすべてを早急に共有したいと考えました。」
Silver Sparrowには2つのバージョンがあります。1つはIntel x86_64プロセッサ用にコンパイルされたMach-Object形式のバイナリで、もう1つはM1用のMach-Oバイナリです。以下の画像は、2つのバージョンの概要を示しています。
クレジット: レッドカナリー
クレジット: レッドカナリー
これまでのところ、どちらのバイナリもほとんど動作を確認していないため、研究者たちはこれらを「バイスタンダーバイナリ」と呼んでいます。興味深いことに、実行するとx86_64バイナリは「Hello World!」と表示されるのに対し、M1バイナリは「You did it!」と表示されます。研究者たちは、これらのファイルはインストーラーがJavaScript実行外でコンテンツを配布するためのプレースホルダーではないかと考えています。Appleは両方のバイスタンダーバイナリファイルの開発者証明書を失効させました。
Silver Sparrowは、Appleの新しいM1チップ上でネイティブに動作するコードを含むマルウェアとしては2例目です。最初のマルウェアは、今週初めに報告されたアドウェアのサンプルでした。ネイティブM1コードは、実行前に変換する必要がないため、x86_64コードよりも新しいプラットフォーム上で高速かつ信頼性の高い動作を実現します。正規のmacOSアプリ開発者の多くは、M1向けにコードを再コンパイルするプロセスをまだ完了していません。Silver SparrowのM1バージョンは、開発者が時代の先を進んでいることを示唆しています。
Silver Sparrowはインストールされると、インストーラーパッケージのダウンロード元のURLを検索します。これは、マルウェア運営者がどの配布チャネルが最も成功しているかを把握するためと考えられます。この点において、Silver Sparrowは過去に確認されたmacOSアドウェアに類似しています。このマルウェアがどのように、どこで配布され、どのようにインストールされるのかは、まだ正確には解明されていません。しかし、URLのチェックから、悪意のある検索結果が少なくとも1つの配布チャネルである可能性が示唆されており、その場合、インストーラーは正規アプリを装う可能性が高いと考えられます。
Appleの広報担当者は、氏名を伏せ、コメントを引用しないことを条件にコメントを提供した。声明によると、Appleはマルウェアを発見した後、開発者証明書を失効させたという。また、悪意のあるペイロードが配信されたという証拠はないとも述べている。さらに、同社は多様なハードウェアおよびソフトウェアの保護とソフトウェアアップデートを提供しており、Mac App StoreはmacOSソフトウェアを入手する最も安全な場所であると述べた。
Silver Sparrowの最も印象的な点の一つは、感染したMacの数です。Red Canaryの研究者はMalwarebytesの研究者と協力し、水曜日の時点で29,139台のmacOSエンドポイントにSilver Sparrowがインストールされていることを確認しました。これは大きな成果です。
「私にとって最も注目すべき点は、このマルウェアが約3万台のmacOSエンドポイントで発見されたことです。これはMalwareBytesが確認できるエンドポイントのみなので、実際の数ははるかに多い可能性があります」と、macOSセキュリティ専門家のパトリック・ウォードル氏はインターネットメッセージで述べています。「これはかなり広範囲に及んでいます。Appleの懸命な努力にもかかわらず、macOSマルウェアがますます蔓延し、蔓延していることを改めて示しています。」
自分の Mac が感染しているかどうかを確認したい人のために、Red Canary はレポートの最後に侵害の兆候を示します。
ダン・グッドインはArs Technicaのシニアセキュリティエディターとして、マルウェア、コンピュータースパイ、ボットネット、ハードウェアハッキング、暗号化、パスワードなどの記事を担当しています。余暇にはガーデニング、料理、インディーズ音楽シーンの追及を楽しんでいます。サンフランシスコを拠点としています。MastodonのこちらとBlueskyのこちらでフォローしてください。SignalのDanArs.82までご連絡ください。
288件のコメント
