チェック・ポイント・リサーチは、最近のレポートで、macOSに感染するマルウェアを発表しました。このマルウェアは、Windows環境では「Formbook」として検出されていましたが、その後、Windowsの実行ファイルに加えてmach-oバイナリが追加され、「XLoader」と改名されています。
XLoaderは、ホスト型のマルウェア・アズ・ア・サービスとして、49ドルという低価格で提供されています。専門知識を必要とせずに動作することから、現在最も多く出回っているマルウェアファミリーの一つとされています。SentinelOneによる分析によると、このマルウェアの主な目的の1つは、キーストロークを記録するだけでなく、認証情報を盗むことです。
初期の段階ではシンプルなキーロガー、あるいはスパイウェアとして、XLoaderは開発されていました。高度に洗練されているわけではありませんが、ネットワーク・トラフィック、クリップボード・データ、およびパスワードをキャプチャする機能を備えているため、その魅力と有用性は広がっています。チェック・ポイント・リサーチは、「XLoader」のmacOS版が2020年10月に提供されているというフォーラムの投稿を発見しました。それ以降、macOSのXLoaderのキャンペーンがどこまで広がっているかは、現在のところ不明です。
このマルウェアのmacOS版は、コンパイル済みのバイナリ、または.jarファイルのいずれかです。Windows環境だけでなく、macOSもターゲットにするために、.jarファイルの配布形態を採用したものと思われます。なお、.jarファイルでマルウェアが配布される際の注意点として、ローカルにJava Runtime Environment(JRE)がインストールされている必要があります。Javaは開梱したてのMacにはインストールされていませんが、様々なソフトウェアや多くの組織で使用されています。
このマルウェアは、.jarファイルを実行すると、ユーザのホームディレクトリに.icoファイルをドロップします。.icoファイルの拡張子は、Windowsのアイコンファイルに使用されます。このファイルは、見た目はMicrosoft Word文書のアイコンに似ていますが、macOSのプレビューのようなユーザのデフォルトの画像ビューアで開かれます。
ファイル自体は、マルウェアがユーザへの感染を続けるためにユーザの操作を必要としないため、害のないものに見えます。一見、マルウェアとしては、機能的な目的を果たしていないように見えるため、これは奇妙なアプローチです。もしユーザがこのファイルを検査するとしたら、おそらく何か問題があることを示す決定的な証拠となるでしょう。このステータスは、このマルウェアが作者によるmacOS開発の初期段階にあることを示す強力な指標です。XLoaderは、LaunchAgentディレクトリにplistファイルを配置し、ホームディレクトリにある隠しアプリバンドルを指し示すことで、持続性を確立します。
XLoaderに対抗するために
XLoader は、キーストロークや認証情報を盗み出そうとする洗練された手法を示す一方で、macOS への感染に対するアプローチが未熟であることを示しています。不完全な機能を強化し、加えて、検出を回避するために、今後も開発が続けられるでしょう。
Jamf Protectは、すでにXLoaderマルウェアをMacOS.Adware.Xloaderとして検出し、その実行を防止しています。Jamf Protectチームは、必要に応じて追加のマルウェア検出メカニズムを含めて、マルウェアの拡散と進化を追跡・監視していきます。現在のところ、このマルウェアが検出された例はありません。
カテゴリー
マーケットトレンド、Apple の最新情報、Jamf のニュースをメールでお届けします。
当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。