MacStealer
MacStealerはmacOSをターゲットとするインフォスティーラー型のマルウェアです。
名前のままですね。
どんなものなのでしょうか。
- 初期の配布形式
このマルウェアはまずはDMGファイルとして配布されます。
DMGはMac OS Xでソフトウェアを配布する際に使用されるアップル社のディスクイメージファイルの形式で、Windowsで利用できるisoファイルと同じように使うことができる形式です。
内部には複数のファイルを含めることができるようになっていて、macOSでは追加のソフトウェアを使用することなく、ダブルクリックするだけで内容を利用することができるというものです。 - マルウェアのファイル形式
このマルウェアのファイルはMach-Oファイル形式になっています。
Mach-OファイルはWindowsのexeファイルのようなものです。
コンパイルされた実行形式のファイルです。
このMach-Oファイル形式のマルウェアがDMGのなかに含まれて配布されます。
このファイルはコンパイルされた状態なのですが、もとのコードはPythonで書かれたものです。
動作時に使用されるライブラリを確認するとPythonで書かれたものであることが確認できます。
ちなみにこのMach-Oファイルはデジタル署名されていません。
適切な運用状態にない環境の場合、デジタル署名のチェックをバイパスできてしまう問題が存在する可能性もありますので、デジタル署名がないなら大丈夫だろうとはなりそうにありません。 - マルウェアの活動
まずマルウェアは活動に際し、システムダイアログのようなものを表示し、システムの環境設定にアクセスするためのパスワードの入力を促します。
そして各種データを収集します。
Firefox、Google Chrome、Braveなどのウェブブラウザからパスワード、Cookie、クレジットカードデータを収集します。
KeyChainデータベースを収集します。
環境で作成されたことが想定される多くの拡張子のファイルを収集します。(txt、doc、docx、jpg、png、csv、zip、など)
収集された情報は圧縮ファイルにまとめられ、HTTPのC2に送信されます。
HTTPでの送信と同時にTelegramにも送信します。
現時点のMacStealerはIntel M1およびM2 CPUを搭載したCatalina以降のmacOSをターゲットとしたものになっています。
ここのところ話題になるマルウェアはWindowsやAndroidやLinuxを対象にしたものが多かったように思います。
しかし、これらの活動の盛んな環境でないから大丈夫だろうとはならないということでしょう。
例外なく適切な運用を心掛けていこうと思います。
参考記事(外部リンク):MacStealer: New macOS-based Stealer Malware Identified
www.uptycs.com/blog/macstealer-command-and-control-c2-malware
