Apple XProtect 防御ラインをすり抜ける新種の AdLoad マルウェアとは?

New AdLoad malware variant slips through Apple’s XProtect defenses

2021/08/11 BleepingComputer — 米国のサイバーセキュリティ企業 SentinelOne が追跡している複数のキャンペーンの1つでもある、新しい AdLoad マルウェアの亜種が、Apple の YARAシグネチャ・ベースの XProtect ビルトイン・アンチウイルスをすり抜け、Mac に感染するという。AdLoad は 2017年後半から、macOS プラットフォームを標的としているトロイの木馬であり、AdWare や PUA (Potentially Unwanted Applications) などの、さまざまな悪意のペイロードの展開に使用されている。このマルウェアは、採取したシステム情報を、オペレーターが管理するリモートサーバーに送信することもできる。

7月以降に活動が活発化

SentinelOne の脅威研究者である Phil Stokes によると、このような大規模かつ継続的な攻撃は、2020年11月には始まっており、7月から8月初旬にかけて活動が活発化しているという。AdLoad が Mac に感染すると、Man-in-The-Middle (MiTM) Web Proxy をインストールし、検索エンジンの結果をハイジャックし、Web ページに広告を注入して金銭的な利益を得る。また、LaunchAgents や LaunchDaemon をインストールし、場合によっては2時間半ごとに実行される cronjob をインストールすることで、Mac への感染の持続性を高める。このキャンペーンを監視している間に、この研究者は 220以上のサンプルを観察しているが、そのうちの 150件はユニークなものであり、XProtect には 12個の AdLoad シグネチャが付着しているが、Apple のビルトイン・アンチウイルスに検出されなかった。

また、SentinelOne が検出したサンプルの多くは、Apple が発行した有効な Developer ID 証明書で署名されているほか、Gatekeeper のデフォルト設定で実行されることが公証されているものもあった。Phil Stokes は、「本稿の執筆時点で、6月15日頃に XProtect は最終更新されています。今回発見されたサンプルは、いずれも XProtect の AdLoad に合致しないため、XProtect で検知できるものではない。よく知られている AdWare 亜種の、何百ものユニークなサンプルが、少なくとも10ヶ月間も流通しているにもかかわらず、Apple のビルトイン・マルウェアスキャナで検出されないという事実は、Mac デバイスに別のエンドポイント・セキュリティ・コントロールを追加する必要性を示している」と結論付けている。

無視できない脅威

この他にも。XProtect をバイパスして、悪意のペイロードで Mac を感染させてきたmacOS マルウェアの Shlayer は、Kaspersky が監視する全ての Apple コンピューターの 10% 以上を攻撃したという。このマルウェアの作成者は、Apple の自動公証プロセスを利用してマルウェアを入手し、Gatekeeper の保護メカニズムを無効にした後に、署名されていないセカンド・ステージのペイロードを実行する機能も取り込んでいた。また、最近の Shlayer は、macOS のゼロデイを悪用して、Apple の File Quarantine、Gatekeeper、Notarization のセキュリティ・チェックを回避し、感染した Mac 上でセカンド・ステージの、悪意のペイロードをダウンロードしていた。AdLoad と Shlayer は、現在は AdWare や BundleWare のみを二次的なペイロードとして展開しているが、いつでもランサムウェアなどの危険なマルウェアに切り替えることが可能だ。Apple のソフトウェア部門責任者である Craig Federighi は、5月に行われた Epic Games とアップルの裁判で証言した際に、「いまの、Mac 上のマルウェアは、我々が許容できないレベルであり、iOS よりもはるかに悪質だ」と述べている。

この後書きも Mac を使って書いているのですが、そういえば、なんとなくですが、広告の煩わしさが増しているような、気がしなくもありません。Apple 自身が白旗をあげちゃったみたいなので、ちょっと、新しいアンチ・ウィルスを考えようかなどと思ってしまいます。でも、何にしたら良いのでしょうかね?AdLoad や Shlayer などを検出できる製品はあるのでしょうか? 面倒くさいけど、調査が必要です。

%d bloggers like this: