Macから情報を盗むマルウェアに要注意--「iPhone」のバックアップも標的

　史上最大規模のサイバースパイ活動への関与が疑われるグループが「Mac」ユーザーをマルウェアで狙っている。このマルウェアは、パスワードを盗み、スクリーンショットを撮り、バックアップの「iPhone」データを入手するというものだ。

提供：iStock

　Bitdefenderのサイバーセキュリティ研究者がこのマルウェアを発見した。米大統領選に干渉したとの疑いが出ているハッカー集団、APT28と関連があるとみられるという。

　Bitdefenderの指摘によると、2016年9月から発生している今回のMacに対するマルウェア攻撃と、APT28の過去の活動には数多くの類似点があるという。同グループはロシア軍情報部と密接な関係があると考えられており、Fancy Bearの別名でも知られている。

　この新種のマルウェアは、「Mac OS X」搭載マシンを標的としており、システムにモジュラーバックドアをインストールし、侵入者がサイバースパイ活動を実行できるようにするものだ。

　研究者たちが、今回のマルウェアとAPT28には関係があると考えているのは、分析されたサンプルに同じドロッパー（ダウンロード役のマルウェア）と、類似したコマンド＆コントロール（C&C）サーバのURLが含まれているからだ。

　このバックドアは、Macのシステムへのインストールに成功すると、まずデバッガがないかチェックし、見つかった場合には自身を終了させる。デバッガが見つからなければ、インターネットに接続されるのを待って、AppleのドメインになりすましたC&Cサーバとの通信を開始する。

　C&Cサーバへの接続が確立すると、ペイロードが2つの通信スレッドを作る。1つはC&Cへ情報を送信するもの、もう1つはコマンドの受信に用いるものだ。

　このマルウェアを分析したところ、複数のモジュールの存在が確認された。これらのモジュールは、感染したシステムのハードウェアとソフトウェアの構成調査、実行中のプロセスに関する情報の収集、デスクトップのスクリーンショットの取得、パスワードの窃取といった機能を持っている。

　Xagentはまた、感染したMacに保存されているiPhoneのバックアップを盗む能力も備えている。この機能が使われた場合、デバイスに保存されたさらに多くのファイル、さらには秘密あるいは取り扱いに注意を要するデータへのアクセスが侵入者に提供されることになり、より広範囲でのサイバースパイ活動が可能になる。