悪質かつ不可解な新種のマルウェアが、感染した Apple Mac 上のインターネット トラフィックを傍受して改ざんし、ユーザーの Google 検索結果に Bing の結果を挿入すると言われています。
セキュリティ企業のAiroAVが今月発表したレポートには、侵害を受けたmacOSコンピューターを設定し、ユーザーのネットワーク接続をGoogle検索結果を変更するローカルプロキシサーバーにルーティングするソフトウェア不正行為を同社が発見した経緯が詳しく記されている。
通常、Macでウェブサイトにアクセスした際に広告やその他の迷惑コンテンツを送りつけるマルウェアは、ブラウザやOSの拡張機能をインストールしたり、AppleScriptを挿入したりすることで、こうした不正行為を実行します。しかし、この亜種はそうではありません。おそらく、macOS Mojaveで導入され、従来の中間者攻撃手法を無効化したセキュリティ対策を回避しようとしているのでしょう。
バッド・ア・ビング、バッドダ・ブーム
この最新のケースでは、マルウェアはAdobe Flashプラグインのインストーラーを装い(おそらくメールやドライブバイダウンロードで配信され)、ユーザーを騙して実行させると主張されています。この偽のインストーラーは、被害者にmacOSアカウントのユーザー名とパスワードを要求し、それを利用してローカルWebプロキシをインストールし、すべてのWebブラウザリクエストがプロキシを経由するようにシステムを設定するための権限を取得します。このプロキシは、パブリックインターネットとの間で送受信される暗号化されていないデータに干渉する可能性があります。
ルートセキュリティ証明書もMacのキーチェーンに追加され、プロキシはリクエストされたウェブサイトに対してSSL/TLS証明書をリアルタイムで生成できるようになります。これにより、暗号化されたHTTPSトラフィックを傍受・改ざんすることが可能になります。この中間者による盗聴は、HTTPウェブサイトだけでなく、MITM対策を講じていないHTTPSサイトにも有効です。
Microsoft Bing 10周年:Chromeの検索にうっかり使ってしまうあのアプリ?まだまだ健在
続きを読む
ユーザーがブラウザを開いて、感染した Mac 上で Google 検索を実行しようとすると、リクエストはローカル プロキシにルーティングされ、奇妙なことに、同じクエリに対して取得された Bing の結果を含む HTML iframe が Google の結果ページに挿入されます。
しかし、なぜそうするのかと疑問に思う人もいるかもしれません。Bingの検索結果にはウェブ広告が表示され、マルウェアの首謀者たちの収益源となっていると考えられているからです。「私たちの理解では、攻撃者はこのプロセスを通じて配信される広告から収益を得ています」とAiroの広報担当者は述べています。「今回の場合はBingの広告かもしれませんが、プロセス全体を通して表示される他の広告かもしれません。」
Airoの研究者であるロイ・アヴニ氏とオクサナ・ダビドフ氏によると、中間者攻撃(MITM)プロセスの複雑な手順は、AppleがmacOS Mojaveに実装したセキュリティ対策への対応であり、以前はアドウェア詐欺に使用されていたブラウザ拡張機能とAppleScriptコードの使用をブロックするものだ。そしてもちろん、このマルウェアの将来のバージョンでは、Google.com以外のウェブサイトも盗聴し、破壊活動を行う可能性もある。
「この攻撃的な検索乗っ取りとインジェクションの手法は、拡張機能のインストールやブラウザ設定の乗っ取りといった『従来の』手法が廃止されたmacOS Mojaveの最近の変更への対応のようです」と2人は説明した。「中間者攻撃(MITM)を利用することで、攻撃者は暗号化されたコンテンツを含むユーザーのトラフィックをすべて検査し、操作して、処理済みのレスポンスをユーザーに返すことができます。」®
