偽のAppleセキュリティアップデート｜ブログ(ほぼこもセキュリティニュース)

Appleのセキュリティアップデートは、iPhoneやMacなどのOSや標準アプリに見つかったセキュリティの弱点（脆弱性）を修正し、悪意ある第三者からのハッキングやデータ抜き取りを防ぐための重要な更新プログラムです。
偽のWindows Updateを装った手法は、パスワードや暗号資産情報を盗むマルウェアへの感染を目的とした典型的な詐欺手口です。
本物そっくりの画面や更新の進行状況を表示し、ユーザー自身に悪意のある指示を実行させようとします。
これと同じようなことがAppleのセキュリティアップデートで実施されています。

このAppleのセキュリティアップデートを装う活動が確認されたのは、従来から偽のアプリケーションインストーラーや「ClickFix」ソーシャルエンジニアリングを使うことが確認されていたSHubの新しい亜種です。
このSHubの亜種にはReaperというビルドタグが付与されていることが確認されています。
どんなものなのでしょうか。

概要
ReaperはAppleScriptを使用して偽のセキュリティアップデートメッセージを表示し、バックドアをインストールします。
そして、機密性の高いブラウザデータを盗み出し、金融情報が含まれている可能性のある文書やファイルを収集し、暗号通貨ウォレットアプリを乗っ取ります。
macOSターミナル悪用防止機能の回避
SHubを含む多くのマルウェアがClickFixを悪用したことに対するものとして、AppleではmacOSターミナルを悪用することを防止する機能をすでに搭載しています。
このため、従来のままのClickFixは実現が難しくなってきています。
今回その部分の新たな手法として、macOSスクリプトエディタを悪用する方法が選ばれています。
macOSスクリプトエディタはmacOSでの日常的な作業やアプリの操作を自動化するためのプログラム（スクリプト）を記述・実行・保存できる、macOSに標準搭載されている公式アプリケーションです。
マルウェアは、このアプリにapplescript:// URL スキームを利用して悪意のあるAppleScriptがプリロードされた状態で起動させます。
あとは、ClickFixの時と同じようにユーザに最後のアクションを取らせれば侵害動作が開始されます。
綺麗なアスキーアートで偽装
プリロードされたAppleScriptの先頭部分は凝ったアスキーアートになっています。
WeChatのインストーラーを装ったものの場合は、そのアスキーアートはWeChatのものと見える内容になっています。
ファイルの先頭部分ではこのスクリプトはWeChatのインストーラーであると表記されていますが、その実際の内容は悪意あるコードとなっています。
後続部分はマルウェアのペイロードを取得する内容となっているのですが、この後続部分は動的に生成されるような仕組みになっているため、静的なマッチングでの防御は簡単ではなさそうです。
パスワード入力の要求
マルウェアは展開されて起動されます。
マルウェアは起動されると、プロンプトを表示し、パスワード入力を促します。
ここでパスワードを入力してしまうと、それを使って環境にある各種情報を取得されてしまいます。
各種のブラウザデータ、暗号通貨ウォレット用ブラウザ拡張機能の情報、パスワードマネージャーの情報、暗号通貨ウォレットアプリケーションの情報、iCloudアカウントデータ、Telegramセッションデータ、などがターゲットとなります。
偽のGoogleソフトウェアアップデート
偽物は他の部分でも使われます。
ビーコン情報をC2に送信したりすることにマルウェアが使うのは、偽のGoogleソフトウェアアップデートです。
LaunchAgentを使用して設置された偽の機構は、1分ごとに実行されることになります。