AppleのSilicon Macに感染する謎のマルウェアの脅威は不明
Apple Silicon Macに影響を与えるマルウェアがさらに発見されましたが、研究者は今のところ、マルウェアの脅威は不明と述べています
AppleのM1ベースのMacを狙ったマルウェアが、以前に考えられていたよりも多く存在する可能性があるようです
発見された最初のM1マルウェアの最初の報告に続いて、マルウェアの感染が増えているようですが、特に歯が立たない種類のマルウェアがあるようです
2月初め、Red Canaryの研究者は、LaunchAgentを使用して存在感を示すmacOSマルウェアの株を発見しましたが、これは他のいくつかの形態のマルウェアとよく似ています
研究者が興味を持ったのは、このマルウェアが実行にJavaScriptを使用していることで、典型的なアドウェアとは異なる振る舞いをしていることでした
研究者が「Silver Sparrow」と名付けたこのマルウェアのクラスタには、M1チップで動作するようにコンパイルされたバイナリも含まれていました、このため、Apple社のSilicon Macを標的とする可能性のあるマルウェアとなっています
VMware Carbon BlackとMalwarebytesの研究者によるさらなる調査では、Silver Sparrowは「これまで検出されなかったマルウェアの系統」である可能性が高いと判断されました
2月17日の時点で、153カ国の29,139のmacOSエンドポイントで検出されており、感染の大部分は米国、英国、カナダ、フランス、ドイツに存在しています
公表時点では、このマルウェアは被害者のMacに悪意のある驚異を配信するために使用されていませんが、将来的には変更される可能性があります
M1との互換性、「比較的高い感染率」、およびマルウェアの運用の成熟度から、このマルウェアは十分に深刻な脅威であると判断され、公開が促されました
このマルウェアには2つのバージョンが発見されており、1つのバージョンのペイロードはIntelベースのMacのみに影響を与えるバイナリで構成されており、もう1つのバージョンはIntelとM1の両方のアーキテクチャ用にコンパイルされたバイナリで構成されていました
最初のバージョンでは文字通り「Hello, World!」と言うウィンドウが開き、2番目のバージョンでは「You did it!」と言うウィンドウが開きます
このマルウェアのメカニズムは、インストーラを装った「update.pkg」と「updater.pkg」というタイトルのファイルを利用しています、このマルウェアは、macOS Installer JavaScript APIを利用して、不審なコマンドを実行します
これは、マルウェアではなく正規のソフトウェアで時々見られる動作で、通常はプリインストールやポストインストールのスクリプトを使ってコマンドを実行するマルウェアでは見られません
感染が成功すると、ダウンロード可能なファイルの特定のURLを確認しようとします、このマルウェアを1週間監視した結果、最終的な脅威は確認できませんでしたが、将来的には変更される可能性があります
自動的に実行されるのではなく、被害者が積極的に検索して実行しなければバイナリが実行されないため、「Hello World」の実行ファイルが含まれていることにも疑問があります
実行ファイルは、これが未開発のマルウェアである可能性を示唆しているか、あるいは他の関係者にマルウェアが正当なものであるように見せるためにアプリケーションのバンドルが必要であった可能性を示唆しています
(Via Apple Insider.)
LEAVE A REPLY