Bogus OfficeNote app delivers XLoader macOS malware
2023/08/23 HelpNetSecurity — 既知のマルウェアである XLoader の macOS 対応の亜種が、”OfficeNote” アプリを装いながら配信されている。SentinelOne の研究者たちは、「XLoader マルウェアのサンプルは、7月を通じて VirusTotal に投稿され続けており、野放し状態で広範に配布されていることが示される」と述べている。2015年から活動している XLoader は Malware-as-a-Service 型の情報スティーラー/ボットネットであり、2021年に Java で書かれた macOS 亜種が登場した。
SentinelOne の研究者は、「前提となる Java Runtime Environment は、Snow Leopard 以降の macOS ではデフォルトで搭載されていないため、このマルウェアの標的は、Java がオプションでインストールされている環境に限られている。XLoader は、C 言語および Objective C 言語でネイティブで書かれ、Apple の開発者名で署名され、OfficeNote というアプリを装っている」と述べている。
8月21日 (月) の時点で研究者たちは、問題となっていた Apple の署名は既に失効しているが、Apple のマルウェア・ブロック・ツールである XProtect は、依然として、この亜種の実行をブロックしていないと述べている。
マルウェアの振る舞い
このマルウェアが実行されると、ハードコードされたエラー・メッセージ “OfficeNote can’t be opened because the original item can’t be found” が表示され、それと同時に、悪意のペイロードと永続化エージェントが秘密裏にインストールされる。
その後に XLoader は、C2 サーバのロケーションを偽装しながら、Chrome/Firefox (Safari は対象外) に保存されているユーザーのログイン認証情報および、クリップボードなどからシークレットを盗み出そうとする。
研究者たちは、「XLoader は、手動および自動化されたソリューションによる分析を回避しようとする。このマルウェアはスリープ・コマンドを実行し、自動化された分析ツールを欺くために活動の開始を遅らせる。そのバイナリは、静的解析を妨害する試みとして除去されるため、分析に混乱を生じることになる」と述べている。
ターゲットとして人気の Mac
エンタープライズ環境における macOS デバイスが増加につれて、サイバー犯罪者にとって魅力的な標的となっている。
その結果としてサイバー犯罪者たちは、多額の金銭的利益を得られる可能性を追求するために、macOS システムを侵害するための取り組みを強化している。
研究者たちは、「XLoader は、macOS ユーザーと企業に脅威を与え続けている。最近における、オフィスの生産性アプリケーションを装う活動は、標的とするユーザーが、作業環境のユーザーであることを示している」と結論付けている。
この OfficeNote アプリが、いったい何者なのか、よく分かりません。Apple の App Store で検索しましたが、この種のアプリが沢山ありすぎて、判別できないという状況でした。なお、macOS に関する直近のトピックは、2023/07/01 の「macOS ユーザーを狙う RustBucket マルウェア亜種:特異な永続性メカニズムを装備」でした。よろしければ、macOS で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.