macOS向けHVNC

HVNCはhidden Virtual Network Computingです。
Virtual Network Computingは皆さんご存じのVNCです。
リモートデスクトップとして利用できるものです。
これのhidden版というわけです。

これまでもWindows向けのものやLinux向けのものが観測されていました。
ここに、macOS向けのものが追加されてしまいました。
どういったものなのでしょうか。

• こっそり使える
  設置が完了してしまったHVNCはその機器の所有者に気がつかれることなく操作することができるようになります。
  攻撃者の操作の開始に際し、被害者の介入を必要としません。
• 別セッションで動作する
  HVNCの接続先のデスクトップは被害者が利用しているデスクトップセッションとは別のセッションです。
  このため、攻撃者の活動している内容は、被害者の側から確認することができません。
• 多機能である
  こっそり使えるVNC機能だけでなく、リバースシェルとリモートファイルマネージャーの機能も搭載されています。
• 永続性がある
  一度設置されてしまったHVNCは、そのmacOSの機器を再起動などした後でも継続して利用できる永続性を有しています。
• カバー範囲が広い
  macOSの10から13.2までがサポートされています。
• 生涯ライセンス
  このマルウェアはアンダーグラウンドで販売されています。
  販売価格は、生涯ライセンスで60,000ドルです。
  悪意ある活動に利用できるオプション機能も20,000ドルで販売されています。
  この販売者は非常に多額の補償金を販売サイトに入れています。
  これは購入者が意図した機能を有していないと訴えた場合に保障としてサイト管理者から購入者に返金する際に使われるものです。
  多額の補償金を販売サイトに入れることができるくらい、自信のある仕上がりということになりそうです。

このマルウェアは本体部分といえます。
このマルウェアそのものには感染するための機構はありません。
電子メールの添付ファイル、悪意のあるWebサイト、エクスプロイトキットなど、さまざまな攻撃ベクトルを通じて配布されたあと、被害者の環境にインストールされて使われるものです。

対策はいつも通りです。
出所の不明なファイルには注意しましょう。
そして利用環境の脆弱性対策はタイムリーに継続的に実施しましょう。

参考記事（外部リンク）：The Massive macOS Threats Trending in the Dark Web.
guardz.com/blog/the-massive-macos-threats-trending-in-the-dark-web/