macOS を狙うマルウェア XCSSET:Python 3 に対応してMonterey を執拗に追尾

XCSSET Malware Updates with Python 3 to Target macOS Monterey Users

2022/08/23 TheHackerNews — macOS マルウェア XCSSET のオペレーターは、そのソースコードを Python 3 にアップグレードすることで、macOS Monterey を侵害するための反復的な改良を行い、ステータスをアップさせている。SentinelOne の研究者である Phil Stokes と Dinesh Devadoss は「このマルウェア作者は、2020年の初期バージョンにおいては偽の Xcode.app に主要な実行ファイルを隠していたが、2021年には偽の Mail.app へと、そして、2022年には偽の Notes.app へと変更している」とレポートで述べている。

Trend Micro が 2020年に初めて文書化した XCSSET は、Apple Notes/WeChat/Skype/Telegram などからの機密情報の採取や、各種の Web サイトへの不正な JavaScript コードの注入、Safari からのクッキーのダンプといった、数多くの機能を備えている。

感染経路は、ドロッパーを使用するものであり、ユーザーの Xcode プロジェクトにバックドアを侵入させるところから始まる。この Xcode プロジェクトは、システム・ソフトウェアまたは Google Chrome を装い、検出を回避する方法もとられている。

主な実行ファイルは AppleScript であり、Google Chrome/Mozilla Firefox/Microsoft Edge/Brave/Yandex Browser などの Web ブラウザや、Telegram/WeChat などのチャットアプリなど保存されたデータを、リモートサーバのネットワークから吸い上げるための、第2段階の AppleScript ペイロードを取得するよう設計されている。

研究者たちは、「この脅威アクターは、カスタム AppleScript である “listing.applescript” を用いて、被害者の環境における Apple の XProtect および MRT マルウェア除去ツールの使用状況を判断し、より効果的なペイロードを展開している」と述べている。

XCSSET Malware


この攻撃の新しい側面の1つは、Xcode プロジェクト内にマルウェアを展開することであり、GitHub リポジトリを経由して伝播し、その範囲を拡大する方法がとられているようだ。

AppleScripts を活用する他にも、このマルウェアは Python スクリプトを利用して、macOS Dock への偽のアプリ・アイコンのドロップや、正規の Notes アプリからのデータ窃取なども可能にしている。

XCSSET の最新バージョンでは、2022年3月14日にリリースされた macOS 12.3 からPython 2.7 が削除されたことを考慮し、AppleScripts に修正を加えたことも注目されている。つまり、このマルウェアの作者は、成功確率を上げるため継続的に更新していることが分かる。具体的には、macOS Monterey 12.3 以上を実行するシステムに対して Python 3 を採用し、”safari_remote.applescript” を更新したと推測される。

この脅威アクターは、2年前から野放し状態で活動しているが、その身元や動機、正確なターゲットなどについて、ほとんど分かっていない。とはいえ、中国では 2022年5月の時点で、盗まれたアカウントのロック解除の見返りとして、被害者に 200 USDT の支払いを要求するという、XCSSET マルウェア攻撃が報告されている。

研究者たちは、「現時点において、これらの感染に関する報告が、被害者によるものなのか、脅威アクターによる仕込みなのかが不明である。疑うことを知らないユーザーが、初心者開発者向けのチュートリアルやスクリーンキャストを通じて、感染したリポジトリに誘導されている可能性が示唆される」と指摘している。

XCSSET のオペレーターは、ちょっと謎めいた脅威アクターですね。Monterey ばかりを狙って、Big Sur や Catalina を無視するということは、攻撃対象の広さの違いなのでしょうか? macOS を狙う、最近のマルウェアとしては、5月17日の「UpdateAgent マルウェアは Mac を狙う:macOS Gatekeeper もバイパスするという」と、5月21日の「PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む」というトピックがありました。よろしければ、ご参照ください。

%d bloggers like this: