macOS ユーザーをターゲットとしたマルウェアの 2 番目の例が今週表面化しました。これは、自動的に実行されるマクロを使用しようとする Word 文書の発見であり、そのマクロは、標的の Mac に感染するために危険なペイロードをダウンロードしようとします。
「米国の同盟国とライバルがトランプの勝利をダイジェスト - カーネギー国際平和基金」というタイトルの Word ファイルは、研究がまとめられたby Objective-See では、潜在的な被害者が Word マクロを開こうとしたときに通常の Word マクロ警告を表示します。この通知では、マクロにウイルスが含まれている可能性があると警告しており、マクロを有効にしても無効にしてもファイルを開き続けるオプションと、ファイルをまったく開かないようにするオプションが提供されています。
マクロを有効にして実行すると、自動マクロは Python スクリプトの実行を開始します。このスクリプトは、特定の URL から第 2 段階のペイロードをダウンロードする前に、最初にネットワーク監視ツール Little Snitch が実行されているかどうかをチェックし、ペイロードを復号化して、その内容を実行します。 。 Python コード自体は、既存のポストエクスプロイト フレームワークであるオープンソース EmPyre プロジェクトからソースされており、コードは「ほぼそのまま」使用されています。
ペイロード ファイルには現在アクセスできず、被害者に何が起こったのかを正確に知ることは不可能ですが、研究者らは、何が起こるかを示唆する EmPyre コードの第 2 段階コンポーネントをいくつか発見しました。ペイロードは Mac 上で存続しようとし、再起動後に自動的に実行され、多くの EmPyre モジュールの 1 つに基づいて機能を実行できると考えられています。
感染した Word ファイルのタイトルは「米国の同盟国とライバルがトランプの勝利をダイジェスト - カーネギー国際平和基金」
これらのモジュールは、キーロガー、キーチェーン ダンプ、クリップボードの監視、スクリーンショットの撮影、iMessage へのアクセス、さらには付属の Web カメラなど、データを取得するための多数のオプションを攻撃者に提供しました。
Synack のセキュリティ研究者 Patrick Wardle 氏は、文書を開くにはユーザーの操作が必要であり、マクロを有効にする必要があるため、このマルウェアは「特に高度ではない」と示唆しています。このファイルの作成者は、セキュリティ上の「最も弱いリンク」としてユーザーを悪用すると同時に、マクロの「正当な」機能を利用して感染ベクトルを作り、「ファイルのクラッシュを心配する必要がない」という点で、ウォードル氏からある程度の評価を得ている。システムも「パッチ」も適用されていません。」
ドキュメントに埋め込まれたマルウェアは比較的古い感染手法であり、Mac ではなく Windows ユーザーに大きな影響を及ぼし、最初の警告通知を無視するユーザーに大きく依存しているにもかかわらず、過去にある程度の成功を収めています。注目すべきメリッサウイルス1999 年のウイルスは、Word マクロを使用してシステムに感染し、ファイルのコピーをユーザーの連絡先の多数に送信して拡散させました。
この感染した Word ドキュメントは、別の種類の macOS マルウェアと同時に到着します。マックダウンローダー、イランのハッカーによって作成されたと考えられるマルウェアは、偽の Flash アップデートを備えた偽の航空宇宙 Web サイトを使用して、米国の防衛産業のメンバーや人権活動家を攻撃しようとしました。
Isamu 
Isamu 
Isamu