Danny Weber
macOS向け情報窃取マルウェアは、公証済みアプリでGatekeeperを通過し、パスワード管理ツールや暗号資産ウォレット、ブラウザーのデータを狙った。
Jamf Threat Labsの研究者は、アプリのクラッシュを知らせるシステムレポートに偽装した新たなmacOS向けマルウェアを発見した。CrashStealerと名付けられたこのマルウェアは、偽のクラッシュ画面を表示してMacのパスワードを入力させようとする。
パスワードを入力すると、CrashStealerは幅広い個人データにアクセスできる。パスワード管理ツールや暗号資産ウォレットをはじめ、端末に保存された機密情報が危険にさらされる。Jamfによると、最初のサンプルは5月初旬から追跡され、7月初旬には実際の攻撃で使われている兆候が確認された。
CrashStealerは、Werkbit Setupという名前のディスクイメージを通じて配布された。中にはWerkbit.appがあり、実行ファイルはveltodという名称だった。初期段階ではDMGとアプリに有効なApple Developer ID署名と公証が付いていたため、Gatekeeperを通過して初回起動できた点が特に危険だった。
Macworldによると、Appleはすでに開発者の認証情報を失効させており、Gatekeeperはこのバージョンの脅威を検出できるはずだ。ただし、攻撃者は攻撃の仕組みを保ったまま、パッケージや署名、ファイル名を変更できるため、引き続き注意が必要になる。
基本的な対策は変わらない — アプリはMac App Storeか、信頼できる開発元の公式サイトからのみ入手することだ。予期しないクラッシュレポートやパスワード要求にも警戒が必要で、特に「システム設定」が変更を加えようとしていると表示された場合は注意したい。
© RusPhotoBank