「macOS」システムを標的とするマルウェアが出回っていることがある研究者によって発見された。
「MaMi」と名付けられたこのマルウェアを最初に発見したのはセキュリティ研究者であるPatrick Wardle氏だ。
同氏は、Malwarebytesの掲示板に書き込まれた1件の投稿に気付いた。そこには、あるユーザーの同僚が「誤って何かをインストール」した結果、DNSがハイジャックされたと記されていた。
そのユーザーは該当DNSエントリを削除したにもかかわらず、82.163.143.135と82.163.142.137というアドレスが残り続けたという。
当初、Malwarebytesのウイルス対策ソフトウェアによって検出されたのは、しばしば迷惑ウェアに分類される「MyCoupon」ソフトウェアだけだった。しかし、DNSエントリのハイジャックという行為は、迷惑というレベルを超えた邪悪なものと考えられた。
MaMiは洗練されたマルウェアというわけではない。この署名無し64ビットMach-O実行可能ファイルは、「AppVersion」が1.1.0となっていることから、開発されてから間もないものだと考えられる。
とは言うものの、MaMiの作成者はDNSハイジャック攻撃やスクリーンショットの取得、偽のマウスイベントの生成、ファイルのダウンロード/アップロード、任意のコードの実行といった機能を組み込んでおり、おそらくは起動時の常駐機能も搭載している。
Wardle氏はブログ記事に、このマルウェアはさまざまなドメインでホストされているが、その感染手段は不明だと記している。
同氏によると、このマルウェアの設定データを解読するのは「さほど労力の要らない」作業だったという。そして解読の結果、MaMiは中間者(MITM)攻撃を可能にするために、「Keychain Access」アプリを通じて証明書をインストールすることも分かったという。
同氏は他の研究者と相談した結果、DNSアドレスのハイジャックに関する、「The mystery of 82.163.143.172 and 82.163.142.174」(82.163.143.172と82.163.142.174に関するミステリー)というタイトルの記事が浮かび上がってきた。
こうした調査の結果、MaMiマルウェアが、「Windows」を標的にする「DNSUnlocker」マルウェアを焼き直したものだという仮説が生み出された。DNSUnlockerは2015年に発見されたマルウェアであり、Windows上のDNSアドレスをハイジャックすることで知られていた。
Google傘下のウイルススキャンサービス「VirusTotal」におけるウイルス対策製品評価によると、該当ファイルは同ブログの投稿時点で、ウイルス対策製品59種のすべてで「Clean」(問題なし)と評価されていた。しかし、製品側で同マルウェアを検出し、ブロックする対策が開始されており、現在では20以上の製品がMaMiマルウェアのmacOSシステムへの侵入をブロックするようになっている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?