Jamf ブログ
Intersection of four buildings, forming an
July 27, 2021 投稿者 Matt Benyo

XLoaderが新たにmacOS向けマルウェア・アズ・ア・サービスを開発

新種のマルウェアであるXLoaderは、革新的な「マルウェア・アズ・ア・サービス」プラットフォームを利用してエンドポイントを標的とし、macOSデバイスへマルウェアを配信します。

チェック・ポイント・リサーチは、最近のレポートで、macOSに感染するマルウェアを発表しました。このマルウェアは、Windows環境では「Formbook」として検出されていましたが、その後、Windowsの実行ファイルに加えてmach-oバイナリが追加され、「XLoader」と改名されています。

XLoaderは、ホスト型のマルウェア・アズ・ア・サービスとして、49ドルという低価格で提供されています。専門知識を必要とせずに動作することから、現在最も多く出回っているマルウェアファミリーの一つとされています。SentinelOneによる分析によると、このマルウェアの主な目的の1つは、キーストロークを記録するだけでなく、認証情報を盗むことです。

Screenshot of the XLoader installation page.

初期の段階ではシンプルなキーロガー、あるいはスパイウェアとして、XLoaderは開発されていました。高度に洗練されているわけではありませんが、ネットワーク・トラフィック、クリップボード・データ、およびパスワードをキャプチャする機能を備えているため、その魅力と有用性は広がっています。チェック・ポイント・リサーチは、「XLoader」のmacOS版が2020年10月に提供されているというフォーラムの投稿を発見しました。それ以降、macOSのXLoaderのキャンペーンがどこまで広がっているかは、現在のところ不明です。

このマルウェアのmacOS版は、コンパイル済みのバイナリ、または.jarファイルのいずれかです。Windows環境だけでなく、macOSもターゲットにするために、.jarファイルの配布形態を採用したものと思われます。なお、.jarファイルでマルウェアが配布される際の注意点として、ローカルにJava Runtime Environment(JRE)がインストールされている必要があります。Javaは開梱したてのMacにはインストールされていませんが、様々なソフトウェアや多くの組織で使用されています。

このマルウェアは、.jarファイルを実行すると、ユーザのホームディレクトリに.icoファイルをドロップします。.icoファイルの拡張子は、Windowsのアイコンファイルに使用されます。このファイルは、見た目はMicrosoft Word文書のアイコンに似ていますが、macOSのプレビューのようなユーザのデフォルトの画像ビューアで開かれます。

ファイル自体は、マルウェアがユーザへの感染を続けるためにユーザの操作を必要としないため、害のないものに見えます。一見、マルウェアとしては、機能的な目的を果たしていないように見えるため、これは奇妙なアプローチです。もしユーザがこのファイルを検査するとしたら、おそらく何か問題があることを示す決定的な証拠となるでしょう。このステータスは、このマルウェアが作者によるmacOS開発の初期段階にあることを示す強力な指標です。XLoaderは、LaunchAgentディレクトリにplistファイルを配置し、ホームディレクトリにある隠しアプリバンドルを指し示すことで、持続性を確立します。

XLoaderに対抗するために

XLoader は、キーストロークや認証情報を盗み出そうとする洗練された手法を示す一方で、macOS への感染に対するアプローチが未熟であることを示しています。不完全な機能を強化し、加えて、検出を回避するために、今後も開発が続けられるでしょう。

Jamf Protectは、すでにXLoaderマルウェアをMacOS.Adware.Xloaderとして検出し、その実行を防止しています。Jamf Protectチームは、必要に応じて追加のマルウェア検出メカニズムを含めて、マルウェアの拡散と進化を追跡・監視していきます。現在のところ、このマルウェアが検出された例はありません。

Jamf Protectのエンドポイントセキュリティがお客様のデバイスを脅威から守ります

デモにお申し込みいただくか、ご契約の販売店様にご連絡ください

他の執筆者:
Stuart Ashenbrenner
ブログ購読

マーケットトレンド、Apple の最新情報、Jamf のニュースをメールでお届けします。

当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシー をご参照ください。