macOSを信用し過ぎてはダメ、実はマルウェアをインストールしているかも

2020.09.09

カテゴリー：
TOOL

macOSを信用し過ぎてはダメ、実はマルウェアをインストールしているかも — Image: Farknot Architect / Shutterstock.com

macOSがアプリのインストールを認めている限り、そのアプリは安全なはずですよね。

それが、Appleのセキュリティ機能Gatekeeperと、2月にmacOSのCatalinaから施行され始めた公証サービスのポイントです。

理論的には、Macにインストールできるアプリは｢Appleの悪意ある要素チェックを受けているはず｣ということになります。

しかし、Gatekeeperが青信号を出したアプリが安全だと思い込むのは、間違っているかもしれません。

チェックをすり抜けた悪意のあるアプリが出回っている

｢Objective-See｣のPatrick Wardleが書いた最近の記事によると、特に大量に出回っていて質の悪いマルウェア｢OSX.Shlayer｣をばらまくために、Gatekeeperを通過するペイロードを使った、Macに対する新しい攻撃が広まっているのです。

金曜に、TwitterユーザーのPeter Dantini（@PokeCaptain）は、Webサイト｢homebrew.sh｣（｢Homebrew｣の公式サイト｢brew.sh｣と混同しないように）が、アクティブなアドウェアキャンペーンのホスティングをしていたことに気づきました。
ユーザーがうっかり｢homebrew.sh｣を訪問すると、様々なリダイレクトの後、Adobe Flash Playerの更新を積極的に推奨されます。
（中略）興味深いことに、Peterは、アドウェアのペイロードを利用している｢homebrew.sh｣から発生しているキャンペーンが、実際には完全に公証されていることに気づいたのです！
｢Objective-See｣より引用翻訳

どのような被害を受けるのか？

このようなプログラムが、どのようにしてAppleから公証を受けることができたのかは不明ですが、ユーザーはコンテンツに何の警告も出ないプログラムを実行しようとするものです。

プログラムを実行すると、現在一番大量に出回っているmacOSのマルウェアのひとつ、｢OSX.Shlayer｣がシステムに投下されます。

このマルウェアがどのような悪さをするのかは、あまりにもシンプルです。

｢Kapersky｣のブログの投稿で、次のように説明されています。

技術的な点から見て注意した方がいいのは、Shlayerが特に目立つものではないということ。
主な実行ファイルは、たった4行のコートのシェルスクリプトBashです。これは一緒に持ってきた別のファイルを解読し、実行します。
これにより、別のファイルをダウンロードし、解読して、また別のファイルを実行する、とまったく同じことをします。
最終的に、この入れ子になった様々なマルウェアが、起動時に動作するよう登録されうまく隠された、いくつかのアドウェアのプログラムをインストールします。
｢Kapersky｣ブログより引用翻訳

妙なポップアップが表示されたり、検索結果がおかしなサイトだったり、変な新しいアプリを大量にインストールするよう求められるなど…自分のMacがおかしな動きをしていて、マルウェアに感染しているかもしれないと思う人は、OSX.Shlayer（もしくは誰も知らない何か）に感染している可能性が十分あります。

無料版の｢Malwarebytes｣のようなセキュリティ対策ソフトを手に入れ、実行して、自分のシステムをきれいにしましょう。