Jamf Threat Labsは木曜日、macOSを標的とした新たなマルウェアの脅威を発見したと発表しました。このマルウェアは、2021年に発見されたZuRuマルウェアに類似しています。
このマルウェアは、中国でホストされている海賊版ソフトウェアを通じて拡散されています。ユーザーが海賊版アプリを起動すると、アプリに添付された悪意のある動的ライブラリが、オープンソースのポストエクスプロイトツール「Khepri」で構築されたバックドアを使用します。これにより、マルウェアはウイルス対策ソフトウェアによる検出を回避します。その後、マルウェアは攻撃者と通信し、攻撃者は標的のMacにソフトウェアをロードして制御することができます。
Jamfは他の脅威を調査している最中にこのマルウェアを発見しました。「.fseventsd」という実行ファイルは、macOSのプロセスと同じ名前で隠蔽されているため、目立っていました。また、Jamfは、この実行ファイルはAppleの署名がなく、疑わしいファイルを分析するウェブサイトVirusTotalでも悪意のあるファイルとしてフラグ付けされていなかったことにも言及しています。
Jamfがマルウェアを発見した海賊版アプリには、FinalShell、Microsoft Remote Desktop Client、Navicat Premium、SecureCRT、UltraEditなどが含まれています。Jamfは、「標的のアプリケーション、改変されたロードコマンド、そして攻撃者のインフラを考慮すると、このマルウェアはZuRuマルウェアの後継である可能性があります」と述べています。
マルウェア攻撃を回避する方法
Jamf社は、この新たなマルウェアは「主に中国の被害者を狙っているようだ」と推測しています。このマルウェアは海賊版ソフトウェアを介して拡散するため、最も簡単な回避策は、信頼できるソース(App Store(ソフトウェアのセキュリティチェックを実施)など)から正規に入手したアプリのみを使用するか、開発者から直接入手することです。Macworldには、ウイルス対策ソフトウェアが必要かどうかのガイド、Macのウイルス、マルウェア、トロイの木馬のリスト、Macセキュリティソフトウェアの比較など、役立つガイドがいくつか掲載されています。
AppleはmacOSにセキュリティ対策を施しており、OSアップデートを通じてセキュリティパッチをリリースしています。そのため、リリースされたらすぐにインストールすることが重要です。Appleがアップデートを取り消した場合、修正が適切に加えられ次第、すぐに再リリースされます。
著者: ロマン・ロヨラ、Macworld シニアエディター
ロマンはMacworldのシニアエディターで、30年以上にわたりテクノロジー業界を取材し、MacをはじめとするAppleエコシステム製品を中心に活躍しています。Macworld Podcastのホストも務めています。彼のキャリアはMacUserで始まり、Apple認定修理技術者(当時はAppleがそのような制度を設けていた)として認定されました。MacAddict、MacLife、TechTVでも活躍しています。
