今週、Kasperskyは、「OSX.WildPressure」と呼ばれるMacを標的としたマルウェアに関する詳細な記事を発表しました。
注目すべき点は、PyInstallerモジュール(Pythonパッケージを実行ファイルにフリーズさせる)の中に "Guard.py "というPythonスクリプトが含まれていることです。なぜなら、このスクリプトは、Windows OSだけでなく、macOSもターゲットにしていることを示しているからです。
このスクリプトは、base64エンコードされたテキストを受け取り、それをplistファイルにデコードします。そして、このplistファイルを「com.apple.pyapple.plist」という名前で、ユーザーのLaunchAgentsディレクトリに配置し、再起動時にマルウェアが実行できるようにします。初回実行時には、スクリプトのパスがplistに注入され、文字列[pyscript]がプレースホルダーとして使用されます。
このスクリプトは、~/.appdata/grconf.datという設定ファイルを探し、マジックヘッダの "*grds*"とマジックフッタの "*grde*"の間の内容を読み込みます。
クロスプラットフォーム型のトロイの木馬に見られるように、マルウェアの作者は、WindowsなどのOSに加えて、macOSもターゲットにしていることが明らかになっています。これは、macデバイスの人気が高まるにつれ、攻撃者はより多くの標的にリーチできるようにツールを適応させているということを示しています。
Jamf ProtectのThreat Preventionは、こうした悪意のあるスクリプトや他の多くのスクリプトが実行された場合に、それを検知して防止します。また、過去にApple社は、将来のmacOSのバージョンにおいて、Pythonはプリインストールされない、と伝えています。
Apple社の動きは、主にPythonで書かれた、あるいはPythonを含むマルウェアファミリーの抑止につながります。これらのファミリーの過去の例としては、GravityRAT、Bella、EvilOSX、Empyre、およびShlayerとPirritのいくつかの亜種があります。
今すぐデモにお申し込みいただくとJamf Protectに関するより多くの情報をご覧いただけます
Jamfブログの購読
市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。
当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。