Macを使っているからといって、ハッカーから安全だとは限らない。2人のセキュリティ研究者が、イランのハッカーが米国の防衛産業を標的にしようとしている可能性のあるMacベースのマルウェアを発見したことを受け、警鐘を鳴らしている。
イランのサイバースパイの脅威を調査しているクラウディオ・グアルニエリ氏とコリン・アンダーソン氏の報告によると、「MacDownloader」と呼ばれるこのマルウェアは、米国の航空宇宙企業ユナイテッド・テクノロジーズを装ったウェブサイトで発見されたという。
この偽サイトは以前、Windowsマルウェアを拡散させるためのスピアフィッシングメール攻撃に使用されており、イランのハッカーによって維持されていると考えられていると研究者らは主張している。
このサイトの訪問者は、米国の防衛企業ロッキード・マーティン、レイセオン、ボーイングの従業員向けの無料プログラムやコースに関するページが表示されます。
マルウェア自体は、サイトに埋め込まれた動画用のAdobe Flashインストーラーからダウンロードされます。ウェブサイトは、検出されたオペレーティングシステムに応じて、WindowsベースまたはMacベースのマルウェアを提供します。
イランの脅威 偽サイトのスクリーンショット。
MacDownloader マルウェアは、被害者のコンピュータをプロファイリングし、偽のシステム ログイン ボックスを生成して認証情報を盗み、Apple のパスワード管理システムである Keychain から認証情報を収集するように設計されていました。
しかし、このマルウェアは粗悪なものであり、「アマチュア開発者による初の試みである可能性がある」と研究者らは述べている。
たとえば、マルウェアがインストールされると、偽の Adobe Flash Player ダイアログボックスが生成され、その後、コンピューター上でアドウェアが検出されたことを通知し、削除を試みます。
「これらの会話には基本的なタイプミスや文法上の誤りも多々あり、開発者が品質管理にほとんど注意を払っていなかったことを示している」と研究者らは述べた。
さらに、このマルウェアは、感染した Mac に悪意のある追加のコードをダウンロードするためのスクリプトを実行することができませんでした。
しかし、粗悪な品質にもかかわらず、このマルウェアはウイルス対策スキャンエンジンを集約した VirusTotal による検出を逃れることに成功しました。
研究者たちは、このマルウェアがイランと関連していることを示す他の状況証拠も発見しました。MacDownloaderエージェントがアップロードした公開サーバーには、「Jok3r」および「mb_1986」という無線ネットワークが表示されていました。これらの名前はどちらも、米国の防衛関連企業や反体制派を標的にしていると疑われているFlying Kittenを含む、以前のイランのハッキンググループとの関連性が見られます。
アンダーソン氏は電子メールの中で、同僚も MacDownloader が人権活動家をターゲットにしているのを観察したと述べた。
研究者らは、特にイランにおいて、多くの人権活動家がApple製品に依存していることが危険だと指摘している。「このマルウェアは高度でもなければ機能も豊富ではないが、Apple製コンピューターの人気を考えると、突然の出現は懸念される」と報告書に記している。
セキュリティ研究者によると、Macを狙ったマルウェアは非常に稀だ。これは、Windowsベースのデバイスが普及しているため、ハッカーがWindowsベースのデバイスを攻撃する傾向があるためだ。
しかし、Macベースのマルウェアは依然として散発的に出現しています。先月、研究者らはバイオメディカル研究センターをスパイするために設計された別の種類のマルウェアを発見しました。また、数か月前には、航空宇宙産業を標的とした別のMacベースのトロイの木馬が発見されています。
