Macの開発者や、Xcodeプロジェクトで開発された新しいアプリを使ってみるのが好きな人にとっては、真剣に気をつけなければならないマルウェア「XCSSET」が出てきました。
サイバーセキュリティ企業のトレンドマイクロは、アタッカーがXCSSETを使って、どのようにユーザーのブラウザを乗っ取ったり、個人情報やアカウントのパスワードや保存されている決済情報盗むのかという、詳細なレポート(英文)を公開しました。
新マルウェア「XCSSET」の特徴
このマルウェアが深刻なのは、攻撃の重症度によるものだけでなく、これまでにない方法でユーザーのデバイスに侵入するからです。
XCSSETは、Xcodeプロジェクトに隠されたコードを通してインストールされます。
Xcodeというのは、MacでAppleのアプリを作成するために使う無料の開発ツールで、Xcodeプロジェクトは「構築」というプロセスを通して、デバイス上で稼働するアプリになります。
開発者が感染したXcodeプロジェクトでアプリを構築すると、開発者のシステム上にXCSSETをインストールする悪意あるコードが密かに実行されます。
トレンドマイクロによると、この改ざんされたプロジェクトがどこで生まれたのか不明ですが、感染に気づかずにXcodeプロジェクトを共有することで、開発者は知らないうちにXCSSETをばらまいている可能性があるのだそう。
これは、開発者にとって直接脅威となるだけでなく、一般ユーザーにもリスクがあります。
オープンソースのMacアプリの多くが、ユーザーがダウンロードし、自分で構築できるXcodeプロジェクトとして配布されています。
感染したアプリを実行することで、ユーザーはマルウエアに感染してしまいます。
XCSSETの問題点
トレンドマイクロのレポートによると、XCSSETがインストールされると以下のことが起こります。
・Safariの脆弱性を利用して、cookieを読み取り、捨ててしまう。
・開発版のSafariを利用して、Universal Cross-site Scripting(UXSS)攻撃を介して、WebサイトにJavaScriptのバックドアを送り込む。
・ユーザーのEvernote、ノート、Skype、Telegram、QQ、WeChatのアプリから情報を盗む。
・ユーザーの現在の画面のスクリーンショットを撮る。
・感染した端末からアタッカーが指定したサーバにファイルをアップロードする。
・サーバーから命令が送られると、ファイルを暗号化し、身代金要求のメモを表示する。
また、トレンドマイクロは、マルウェアのUXSS攻撃によって、以下のような様々な方法で、ユーザーのWebブラウザを理論的に乗っ取ることができるとも言っています。
・表示されたWebサイトの変更。
・ビットコイン/暗号通貨アドレスの変更や置換。
・amoCRM、Apple ID、Google、Paypal、SIPMarket、Yandexの認証情報を盗む。
・Apple Storeからクレジットカード情報を盗む。
・ユーザーがパスワードを変更するのをブロックするだけでなく、変更した新しいパスワードも盗む。
・アクセスした特定のサイトのスクリーンショットを撮る。
XCSSETの感染を防ぐ方法
悪魔のように賢いマルウェアXCSSETは脅威ですが、普通のユーザーはほぼ避けることができます。
公式のApp storeやその他認証されたソースからのみアプリをダウンロードし、総合的なアンチウイルスソフトを使いましょう。
開発者は、どこでどのようにXcodeプロジェクトを共有しているか、アクセスしているかに注意しなければなりません。
しかし、改ざんされたプロジェクトファイルを特定するのは困難ですし、どこでこのコードが生まれているかは誰にも定かではないので、正当な信頼できるソースでも感染しているおそれがあります。
それでも、信頼できるソースを堅持し続けるべきです。
興味のある人は、トレンドマイクロのレポートにXCSSETがどのように動作するかという技術的な説明(pdf)がありますので、自分のプロジェクトを安全に保つのに役立つかもしれません。
あわせて読みたい
Image: Konstantin Savusia / Shutterstock.com
Source: TREND MICRO
Brendan Hesse - Lifehacker US[原文]
