この記事は、2020年6月15日にJoshua Longによって投稿されたMac Security Blogの記事の翻訳です。
https://www.intego.com/mac-security-blog/new-mac-malware-reveals-google-searches-can-be-unsafe/
Integoは、Google検索で危険な検索結果を表示して積極的に拡散しようとする、Macを狙う新たなマルウェアが出回っていることを発見しました。
この金曜日の時点では、この新しいマルウェアのインストーラとそのペイロードに対し、VirusTotalでのすべてのアンチウイルスによる検出率が0/60でした。Intego VirusBarrier X9が、このマルウェアを検出し除去できる最初のアンチウイルスソリューションということになります。
Integoでは、この新しいマルウェアを2018年にIntegoが初めて発見したOSX/Shlayer、および過去のOSX/MacOffersやMughthesec/BundleMeUp/Adloadと似ているOSX/Bundloreの亜種として検出します。
この新しいマルウェアは何をするのでしょう? どこが変わっているのでしょう?
Macを狙うマルウェアによく見られるように、この新たにアップデートされたShlayerマルウェアは、Adobe Flash Playerインストーラに偽装された.dmgディスクイメージ上のトロイの木馬アプリケーションとして拡散されています。
この偽のFlash Playerインストーラが被害者のMacにダウンロードされて開かれると、ディスクイメージがマウントされ、インストールの手順が表示されます。そこには、まずflashInstallerを「右クリック」して「開く」を選び、表示されたダイアログで「開く」をクリックすると書いてあります。
ユーザが手順に従うと、“installer app”が起動します。インストーラには Flash Playerのアイコンがついており、普通のMac用アプリケーションのように見えますが、実際には開かれることでターミナルアプリケーション内で自身を素早く実行するbashシェルスクリプトです。
スクリプトが実行されると、自身に埋め込まれている一般的な(ただし危険な)Mac用の.appバンドルを保管しているパスワード保護された.zipアーカイブファイルを開きます。 このMac用アプリケーションが隠された一時フォルダにインストールされると、今度はそのMacアプリケーションを起動してターミナルを終了します。これらの処理は、1秒もかからずに完了します。
こうしてMac用アプリケーションが起動すると、ユーザを欺くためにAdobeによって署名された公式のFlash Playerインストーラをダウンロードします。 しかし、この隠されたMac用アプリケーションは、接続するサーバを管理している者の意向で、その他のMacを狙うマルウェアやアドウェアを何でもダウンロードできるように設計されているのです。
このようにMac用アプリケーションをパスワード保護された.zipファイルに隠し、さらにbashシェルスクリプトに隠すというアイデアは、非常に斬新です。これが、アンチウイルスソフトウエアによる検出を回避しようとする試みであることは明白です。
このマルウェアは出回っているのでしょうか? どのように拡散しているのでしょうか?
まず、Integoの研究チームがGoogleをとあるYouTubeビデオのタイトルで検索した結果をクリックしたところ、 複数の転送サイトを経由してから、訪問者のFlash Playerが古くなっていると警告し、被害者にFlash Playerアップデートをダウンロードさせようとする偽のダイアログボックスを表示するページに行き着きました。もちろん、これはトロイの木馬なのです。
この新たに改良されたマルウェアは、自身が公式のFlash Playerインストーラであるように見せかけますが、アドウェアやスパイウェアを保管した必要のないパッケージをこっそりとダウンロードしてインストールする機能を持っています。
こうした検索エンジンでの検索結果からブラウザ内の偽のダイアログへ誘導し、悪意のあるダウンロードを促すやり方は新しいものではありません。もう10年以上存在する方法です。
昨年、Integoは検索結果からMacを狙うマルウェアへ誘導する例の一つのであるOSX/CrescentCoreを初めて発見しました。今回の新たなShlayerの亜種同様に、CrescentCoreも自身をFlash Playerインストーラに偽装したトロイの木馬でした。
Googleには阻止できないのでしょうか?
今回に限って言えば、このマルウェアはGoogleでの検索結果で見つかりました。しかし、Bing、Yahoo!、DuckDuckGo、Startpage、Ecosia、あるいは他の検索エンジンでも、同じことが起こる可能性はあります。
検索エンジンには、マルウェアへ誘導するための悪意のある検索結果を防ぐ対策が常に期待されています。
しかし、今回のマルウェアキャンペーンでもわかるようにマルウェアは検出を回避するために常に変化しています。Googleがウェブサイトをインデックスする前に既知のマルウェアを対象にスキャンしたとしても、マルウェアが発見されていない新たな顔を持っていれば、Googleも事前に検出することはできないのです。
また、Webページの多くは、その時々によってリアルタイムに異なるコンテンツを表示するように設計されています。ウェブサーバがGoogleによってチェックされていると感知したら、誰かがウェブブラウザでそのURLを直接開いたときに表示される内容とは全く異なる内容を表示するかもしれません。そして、そのWebページは、今回のマルウェアキャンペーンのようにGoogleでの検索結果に表示されたリンクをクリックした際に表示される内容とも異なっている可能性があるのです(この場合、google.comが「リファラー」となります」。
不可能ではないかもしれませんが、危険な可能性がある全てのコンテンツを検索結果から排除するのは大変なことでしょう。
なお、Integoでは見つかった危険な検索結果をGoogleに報告してあります。
このマルウェアは除去できるのでしょうか?
現時点では、IntegoのMac用セキュリティ製品、<a href="https://www.act2.com/integostore">Mac Premium Bundle X9あるいはMac Internet Security X9</a>などに含まれているIntego VirusBarrier X9だけがこのマルウェアを検出して除去できます。他社のアンチウイルスソリューションもすぐに検出できるようになると予想されます。
このマルウェアの感染被害は出ていますか?
一般的に言って、Macを狙うマルウェアの多くがFlashインストーラを10年に渡りトロイの木馬として使い続けていることから考えて、偽のFlash Playerインストーラを使うやり方は効果があるものと思われます。
関連記事: https://support.act2.com/hc/ja/articles/900000601263
Adobe Flash Playerは事実上終了しているのに、未だに10%のMacが偽のFlashマルウェアに感染
このマルウエアキャンペーンについて言えば、どれくらいのウェブサイトがマルウェアを提供しており、どれくらいの検索結果に表示されているかは不明です。このマルウェアが新しいものなので、どれくらい感染が広がっているかはこれからわかるでしょう。
なお、このマルウェアの感染手順には、その最初の部分からディスクイメージを開いても感染まで行き着かないであろう設計ミスがあります。ディスクイメージがマウントされると、被害者にインストーラを「右クリック」させようとしますが、多くのMacユーザはこれを不審に思うでしょう。典型的なWindows PCと違い、Appleのマウスやトラックパッドには明確に右クリックとされるボタンがありません。そのため、特に初心者のMacユーザはMacで右クリックを再現する方法を知らず、マルウェアのインストーラスクリプトを実行することもできないでしょう。
このマルウェアの作者について分かっていること
このマルウェアを作った会社は、自身に対してFlashDownloaderというありきたりの名前を付け、そのlicense.txtファイルでは info@flashdownloader.pro で連絡がつくと言っています。flashdownloader[.]proというドメインは、このマルウェアが世に出たことが初めてわかった日の数日前である2020年6月8日に登録されています。
興味深いことに、この新しいShlayerの亜種を作った会社は、「無料のVPN」を内蔵するWindows用の「安全でセキュア、高速」なウェブブラウザにも関係しており、このブラウザのMac版も近日に公開されると言っています。
このブラウザのWindows版は、VirusTotalによれば、どのマルウェア対策ソフトウェアにもPUP/PUA(潜在的に迷惑なアプリケーション)として検出されません。しかし、弊社のブログの読者やPodcastの聴取者には以前から警告している通り、例えば無料のVPNサービスのように本来ならお金がかかるはずのものが完全無料で提供されていたら疑ってかかるべきなのです。運営するために多大な費用がかかるはずのサービスが無料で提供されているなら、多くの場合でその会社は顧客のデータから収益を生み出しています。
攻撃の兆候
このマルウェアキャンペーンでは、以下のSHA256ハッシュが見つかっています:
flashInstaller.dmg
disk image; initial download, usually in ~/Downloads
d49ee2850277170d6dc7ef5f218b0697683ffd7cc66bd1a55867c4d4de2ab2fb
97ef25ad5ffaf69a74f8678665179b917007c51b5b69d968ffd9edbfdf986ba0
flashInstaller
bash script; installer on disk image; unsigned
86561207a7ebeb29771666bdc6469d81f9fc9f57eedda4f813ca3047b8162cfb
2c2c611965f7b9c8e3524a77da9b2ebedf1b7705e6276140cffe2c848bff9113
flashInstaller.zip
temp file created by the script
3cd3f207a0f2ba512a768ce5ea939c1aed812f6c8f185c1838bfc98ffd9b006e
bdbfefab84527b868eb073ece6eff6f5b83dc8d9ed33fe0a824ffee3b9f47b6e
Installer
found within a .app in a subfolder of /private/var/folders
Mach-O macOS binary; self-signed
05b9383b6af36e6bf232248bf9ff44e9120afcf76e50ac8aa28f09b3307f4186
907c31b2da15aa14d06c6e828eef6ca627bd1af88655314548f747e5ed2f5697</pre>
偽のFlash警告、ファイルのホスティング、あるいは通信サーバとして、このマルウェアキャンペーンに直接関連する次のドメインが見つかっています:
youdontcare[.]com
display[.]monster
yougotupdated[.]com
installerapi[.]com</pre>
上記のいずれかのドメインからのネットワーク通信、あるいは上記のいずれかのドメインへのネットワーク通信があれば、感染の可能性を示唆します。
さらに、次のドメインがこのマルウェアキャンペーンに何らかの経路で関連している可能性があることを示す証拠が見つかっています:
flashdownloader[.]pro
defenderbrowser[.]com
installvibes[.]com</pre>
- 以上 -