Jamf Threat Labsは木曜日、macOSを標的とした新たなマルウェアの脅威に関するレポートを発表しました。このマルウェアは、仮想通貨マイニングソフトウェアをインストール・実行します。このマルウェアは、インターネット上の不正な配布サイトからダウンロードされたFinal Cut Proの海賊版に添付されています。
Final Cut Proの海賊版には、XMRigと呼ばれる仮想通貨マイニングツールが添付されています。ソフトウェアをダウンロードしてインストールすると、XMRigがバックグラウンドで起動します。Jamfによると、1月時点では、隠されたXMRigのインストールを検出できるマルウェア対策アプリは「ごくわずか」とのことです。
XMRig自体は暗号通貨マイナーによって合法的に使用されることが多いですが、オープンソースユーティリティであるため、今回のような不正使用の対象となることも少なくありません。XMRigがバックグラウンドで実行されると、Macはマイニングタスクに処理リソースを費やし、パフォーマンスに影響を与えます。
Jamfによると、このマルウェアはi2pを利用して採掘した暗号通貨を攻撃者のウォレットに送信し、Macに悪意のあるソフトウェアコンポーネントをダウンロードするとのこと。i2pネットワークプロトコルはプライバシー保護を目的として設計されており、暗号化されており、ユーザー、サーバー、そしてアクセスを許可されたユーザーのみが使用するトンネルを使用します。XMRigと同様に、i2pには正当な用途もありますが、マルウェアによって使用されると、ネットワークアクティビティの追跡が困難になります。
Jamfの調査によると、マルウェアの出所は2019年にFinal Cut Proの海賊版のアップロードを開始し、macOSのアクティビティモニタアプリによる検出を回避するほど巧妙な手口をしていたことが判明しました。アクティビティモニタが起動すると、XMRigは実行を停止し、ユーザーがアクティビティモニタを終了すると再起動します。
Appleは声明で、このマルウェアの存在を認め、「JAMFの調査で指摘された特定の亜種」をブロックし、マルウェアが「Gatekeeperの保護を回避できないようにする」ためにmacOSのXprotectをアップデートしたと述べた。AppleはmacOS VenturaでGatekeeperを強化し、アプリが正しく署名され、改ざんされていないことを継続的にスキャンするようにしたが、以前のバージョンのmacOSでは初期チェックのみを行っていた。
海賊版アプリのダウンロードには通常、トレントクライアントが使用されますが、これらのクライアントは隔離属性を適用しないため、ダウンロードはmacOS Montereyの検証チェックを回避します。しかし、macOS Venturaでは、Final Cut Proの海賊版は検証を通過できず起動しませんが、XMRigの不正インストールは依然として行われ、バックグラウンドマイニングは継続されます。
このマルウェア攻撃こそが、AppleがApp Storeでの購入を推奨する理由です。App Storeでは、Appleが各アプリを精査し、マルウェアが含まれていないことを確認しています。いずれ、より多くのサードパーティ製セキュリティアプリがこの攻撃に気づき、保護機能を提供するようになるでしょう(Jamfは、この攻撃はProtect Threat Preventionサービスによってブロックされると指摘しています)。この攻撃を回避する最も簡単な方法は、海賊版ソフトウェアを使用しないことです。Final Cut Proの正式版は300ドルですが、90日間の無料トライアルがあります。関連記事:Macにウイルス対策ソフトウェアは必要か?およびMacをウイルスから保護する方法。また、Macに最適なウイルス対策ソフトウェアのまとめも掲載しています。
午後4時55分更新 (東部標準時): Apple からの声明を追加しました。
著者: ロマン・ロヨラ、Macworld シニアエディター
ロマンはMacworldのシニアエディターで、30年以上にわたりテクノロジー業界を取材し、MacをはじめとするAppleエコシステム製品を中心に活躍しています。Macworld Podcastのホストも務めています。彼のキャリアはMacUserで始まり、Apple認定修理技術者(当時はAppleがそのような制度を設けていた)として認定されました。MacAddict、MacLife、TechTVでも活躍しています。
