セキュリティ専門家たちは、Mac ランサムウェアの珍しい新種の発見を受けて警鐘を鳴らしている。
EvilQuestとして知られるこのマルウェアは、ロシアの海賊版サイトやトレントサイトを通じて拡散しているのが確認されました。情報セキュリティ企業Malwarebytesのチームは火曜日、 The Registerに対し、このマルウェアは過去4年間で初めて検出されたmacOSランサムウェアの新種であると述べました。
マルウェアバイトのMacおよびモバイル担当ディレクター、トーマス・リード氏は、分析したあるサンプルでは、このマルウェアは正規のネットワーク監視ツール「Little Snitch」のインストーラーを装っていたと述べています。また、EvilQuestは音楽制作スイート「Ableton Live」やチューニングソフトウェア「Mixed in Key」を装っていることも確認されています。K7の脅威研究者、ディネシュ・デバドス氏も、Googleのソフトウェアアップデートを装ったランサムウェアを発見したと報告しています。
いずれの場合も、ランサムウェアの作成者は、正当なインストーラーにコードを注入しただけのようです。汚染されたインストーラーコードを実行すると感染プロセスが開始され、仮想マシンで実行されているかどうか、デバッグツールやウイルス対策ツールの有無を確認した後、ファイル暗号化ランサムウェアが起動しますが、起動には多少の遅延があります。
「マルウェアに遅延が組み込まれることは珍しくありません。例えば、史上初のMacランサムウェアであるKeRangerは、システムに感染してからファイルの暗号化を開始するまで3日間の遅延を設けていました」とリード氏は説明した。「これはマルウェアの出所を隠蔽するのに役立ちます。悪意のある動作が、3日前にインストールされたプログラムとすぐには結びつかない可能性があるからです。」
遅延時間(その長さはまだ確認されていない)が過ぎると、マルウェアは被害者に50ドル(40ポンド)の身代金を要求する前に、ファイルを暗号化するプロセスを開始する。
幸いなことに、このランサムウェアは特に優れた機能を備えているようには見えず、このランサムウェアを作成した者は、知識のあるユーザーであれば何かがおかしいと気付くようなバグやずさんなコーディングをいくつか残している。
カリフォルニア大学サンフランシスコ校、ランサムウェア集団に114万ドルを支払い、BBCが「ダークウェブでの交渉」を公表
続きを読む
「しかし、このマルウェアは暗号化するファイルの種類については特に賢くありませんでした。設定ファイルやキーチェーンファイルなどのデータファイルも多数暗号化していたようです」とリード氏は述べた。「そのため、暗号化後にログインするとエラーメッセージが表示されたのです。」
同時に、作者は身代金の支払い以上の野望を持っているようです。このマルウェアはコマンド&コントロールサーバーに接続する機能も備えており、他のマルウェアモジュールを追加する可能性もあります。
Little Snitch の開発者であり、macOS セキュリティの第一人者でもある Patrick Wardle 氏は、ランサムウェアのコンポーネントに加えて、マルウェアには限定的なキーロギング機能があり、純粋にメモリ内で実行される可能性があり (ストレージには触れないため、感染の検出が少し難しくなる)、ウォレットとキーを検索して外部システムに持ち出す機能もあると指摘しました。
「最後に、マルウェアは特定の前提条件が満たされた場合、リバースシェルの作成を試みる可能性もあります」とウォードル氏は述べた。「これらの機能を活用することで、攻撃者は感染したホストを完全に制御できるようになります。」
適切なウイルス対策ツールを実行し、怪しい海賊版サイトやトレントからコンテンツをダウンロードしないこと以外にも、ランサムウェアの攻撃を受けた場合に Mac を簡単に消去して復元できるように、複数のオフライン バックアップを維持して自分自身を守ることをリード氏は推奨しています。
「すべての重要なデータのバックアップコピーを少なくとも2つ保管し、少なくとも1つはMacに常時接続しないでください」とリード氏は述べた。「ランサムウェアは、接続されたドライブ上のバックアップを暗号化したり、破壊したりする可能性があります。」®
