新しい Mac ランサムウェアはまだそれほど脅威ではない

By Isamu

最近発掘されたサンプルmacOSマルウェアは Apple のエコシステムに対する攻撃の傾向を続けていますが、現状では Mac ユーザーにとって大きな脅威ではありません。

マルウェア作成者は macOS をより大きな目標これまで以上に、その試みを強化しています。浸透するApple のオペレーティング システム。ただし、すべての試みが平均的なユーザーにとって脅威とみなされるわけではありません。

分析パトリック・ウォードル氏による新たな「Turtle」ランサムウェアについて目的 - 参照ランサムウェアのすべての構成要素を備えた macOS マルウェアの 1 つのサンプルの詳細を示します。しかし、感染していると徹底的に判断された人にのみ害を及ぼす状態で発見された。

「Turtle」という名前は、Go で書かれたコードの検査に由来しています。 「Turtlerans」と「TurmiRansom」への内部参照、および「TurtleRansom」という接頭辞が付いたファイルにより、マルウェアにその名前を付けるのが簡単でした。

サンプルの zip ファイルを最初に分析すると、このマルウェアが Windows、Linux、macOS などの多くの一般的なプラットフォームやアーキテクチャ向けにコンパイルされていることがわかります。 macOS .pkg ファイルはパッケージではありませんでしたが、Intel 用にコンパイルされた Mach-O 実行可能ファイルであることが判明しました。アップルシリコンマック。

また、このマルウェアは最初に Windows 向けに開発され、その後 macOS に移植されたことも判明しました。 Windows への言及は、わずか 2 日後に VirusTotal で Windows が 62 セキュリティ ベンダー中 24 社という高い報告率を記録したことを意味しており、これは macOS マルウェアとしては異例の偉業です。

それを分解する

マルウェアをチェックすると、コードが macOS 上で実行できるように署名されていることがわかります。ただし、アドホックに署名され、公証されていないため、macOS Gatekeeper は、ユーザーが許可しない限り、その実行をブロックする必要があります。実行を許可しますただし、何らかの形式のエクスプロイトによって展開される可能性もあります。

埋め込まれた文字列を難読化する試みがまったくなかったため、埋め込み文字列を抽出する試みは非常にうまくいきました。見つかったものは、非常に簡単なランサムウェアのセットアップを可能にする文字列で構成されていました。

実際、暗号化は Go crypto/AES ライブラリを使用して実行されたため、慎重に配置されたブレークポイントを使用してランサムウェア キーを取得することは非常に簡単でした。同じハードコードされたキーがメモリ内でも見つかりました。

「AES は対称的であり、ここでは鍵がハードコーディングされているため、復号器を作成するのは簡単です」と Wardle 氏は復号器を作成してテストする前に書いています。

今のところほとんど無害

「この場合、平均的な macOS ユーザーがこの macOS サンプルの影響を受ける可能性は低いです」と報告書は述べています。 Gatekeeper が介入すると、ユーザーはセキュリティ手順を完全に無視するか、通常とは異なるセキュリティ設定を行うか、ファイルの暗号化を開始するために別のエクスプロイトを介してマルウェアを実行する必要があります。

Apple はまた、コア OS ファイルを保護する SIP と読み取り専用システム ボリュームの実装により、「macOS に対するランサムウェア攻撃の軽減にかなり積極的に取り組む」ための措置を講じています。保護されたディレクトリ内のユーザー ファイルに対する TCC 保護は、ランサムウェアの影響を制限するのにも役立ちます。

ほとんどの場合、マックユーザーは、Turtle ランサムウェアについてあまり心配する必要はありません。その存在は、「心配するのをやめさせる」もう 1 つの理由であり、そのようなサンプルや攻撃の発生を検出して防止する方法についての会話を始めるのにも役立つとウォードル氏は書いています。 macOS。

Turtle ランサムウェアから身を守る方法

現状では、ユーザーは Turtle ランサムウェアの影響から身を守るためにそれほど多くのことを行う必要はありません。本当に遵守する必要があるのは、コンピュータの衛生状態を良好にすることだけです。

たとえば、アプリケーションを実行したりファイルを開いたりするときは、Gatekeeper やその他の macOS のセキュリティ プロンプトに注意を払ったり、信頼できるまたは既知の安全なオンライン ソースからのみソフトウェアをダウンロードしたりする必要があります。また、不明な送信元から電子メールで送信されたファイルをむやみに開かないことも賢明です。

オンラインで賢明であれば、ランサムウェアであろうがなかろうが、一般的にほとんどの人を安全に保つことができるはずです。

Related Post

Android の販売不振により Verizon は Apple の iPhone に向かう

Android の販売不振により Verizon は Apple の iPhone に向かうIsamu

シトリックスの調査: ビジネス ユーザーの 80% が Apple iPad の購入を計画しています

シトリックスの調査: ビジネス ユーザーの 80% が Apple iPad の購入を計画していますIsamu

ドライブまたはドックに接続したときにM4 Mac Miniで弱いWi-Fiを修正する方法

ドライブまたはドックに接続したときにM4 Mac Miniで弱いWi-Fiを修正する方法Isamu

You Missed

新しい 1080p Apple TV の分解で、より優れたシングルコア A5 CPU が判明

Claris FileMaker Pro がネイティブ Apple Silicon アップデートを取得

AppleのiPhone 17 Slimは、人々が本当に望んでいることを無視した間違ったアプローチです

HomeKit Insider で Apple TV の噂、さらなる CES リリース、Apple の 2025 年のスマートホーム計画

iTunes in the Cloud では Apple が App Store から削除したアプリの再ダウンロードが可能

Apple、iOS、OS X、iCloud 用の iWork をアップデートし、使いやすさとグラフィックスの調整を強化

Face IDを搭載した「最新の」iPad ProがAppleのiOS 11.3コードでからかわれる

YouTube TV が数か月の遅れを経て Apple TV に登場