Jamf ブログ
Hand holding surgical mask and laptop bag close together.
July 9, 2021 投稿者 Stuart Ashenbrenner

新種のMac用マルウェア「OSX.WildPressure」をJamf Protectが阻止

企業におけるAppleデバイスの導入率が高まるにつれ、それに比例してmacOSを標的としたマルウェアも増加しています。

今週、Kasperskyは、「OSX.WildPressure」と呼ばれるMacを標的としたマルウェアに関する詳細な記事を発表しました。

注目すべき点は、PyInstallerモジュール(Pythonパッケージを実行ファイルにフリーズさせる)の中に "Guard.py "というPythonスクリプトが含まれていることです。なぜなら、このスクリプトは、Windows OSだけでなく、macOSもターゲットにしていることを示しているからです。

Guard.py targeting both Windows and macOS

このスクリプトは、base64エンコードされたテキストを受け取り、それをplistファイルにデコードします。そして、このplistファイルを「com.apple.pyapple.plist」という名前で、ユーザーのLaunchAgentsディレクトリに配置し、再起動時にマルウェアが実行できるようにします。初回実行時には、スクリプトのパスがplistに注入され、文字列[pyscript]がプレースホルダーとして使用されます。

Plist created by the Guard.py script

このスクリプトは、~/.appdata/grconf.datという設定ファイルを探し、マジックヘッダの "*grds*"とマジックフッタの "*grde*"の間の内容を読み込みます。

Finding the magic header and footer

クロスプラットフォーム型のトロイの木馬に見られるように、マルウェアの作者は、WindowsなどのOSに加えて、macOSもターゲットにしていることが明らかになっています。これは、macデバイスの人気が高まるにつれ、攻撃者はより多くの標的にリーチできるようにツールを適応させているということを示しています。

Jamf Protect message box detecting and preventing the OS X.WildPressure malware

Jamf ProtectのThreat Preventionは、こうした悪意のあるスクリプトや他の多くのスクリプトが実行された場合に、それを検知して防止します。また、過去にApple社は、将来のmacOSのバージョンにおいて、Pythonはプリインストールされない、と伝えています。

Apple社の動きは、主にPythonで書かれた、あるいはPythonを含むマルウェアファミリーの抑止につながります。これらのファミリーの過去の例としては、GravityRAT、Bella、EvilOSX、Empyre、およびShlayerとPirritのいくつかの亜種があります。

今すぐデモにお申し込みいただくとJamf Protectに関するより多くの情報をご覧いただけます

Stuart Ashenbrenner
ブログ購読

マーケットトレンド、Apple の最新情報、Jamf のニュースをメールでお届けします。

当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシー をご参照ください。