MacSync Stealerは、従来からあるインフォスティーラー型マルウェアのひとつです。
このMacSync Stealerの新しい亜種が確認されています。
細かな部分の変更もあるのですが、今回は戦術レベルでの変更を含んでいることが確認されています。
変化の部分を見てみましょう。
- コード署名
MacSync Stealerは、コード署名された状態で送り込まれます。
コード署名とは、ソフトウェアやスクリプトにデジタル署名を付与し、その発行元が本物であること(真正性)と、署名後に内容が改ざんされていないこと(完全性)を保証する技術です。
これにより、ユーザはダウンロードしたソフトウェアが信頼できる開発元から来たものであり、悪意のある第三者によって内容を書き換えられていないことを確認でき、セキュリティリスクを低減します。
この安全性は開発元で署名に使用される環境が必要十分に安全が確保されている場合にだけ成り立ちます。
今回のMacSync Stealerの亜種は、正規のコード署名がされた状態になっていました。
署名に使用されている鍵はいずれもリボケーションされていませんでした。
これにより、このMacSync Stealerの亜種は、ユーザにコマンドを実行させるClickFixのような手法や、ユーザにスクリプトを含むドキュメントを開かせるような被害者の操作を必要とすることなく、そのまま脅威アクターの意図する活動を現地で展開することができる状態となっていました。
今回のこのコード署名されたMacSync Stealerの亜種は、現時点ではもう同じ脅威の状態となならない状態になりました。
研究者からの報告に促され、リボケーションリストに登録されたためです。
しかし安心はできません。
このマルウェアの亜種そのものが利用できない状態になっても、このマルウェアの亜種の選択した戦術はまだ生きているのです。
他のマルウェアでもすでに同じ方法を選択するものが出てきていることが確認されています。
セキュリティを提供する仕組みで保護できる脅威は多数ありますが、それがあるから必ず安心ということにはなりません。
重要なのはセキュリティに気をつける必要があるということを忘れないことなのでしょうね。
From ClickFix to code signed: the quiet shift of MacSync Stealer malware
https://www.jamf.com/blog/macsync-stealer-evolution-code-signed-swift-malware-analysis/
| この記事をシェア |
|
|---|
