トレンドマイクロ、最新のmacOS 11やM1チップ搭載端末に対応したマルウェア「XCSSET」について詳説

　トレンドマイクロ株式会社は5月31日、Mac向けマルウェア「XCSSET」の攻撃手口について同社のブログで発表した。XCSSETが最新のmacOS11やM1チップ搭載端末を含めARM64およびx86_64のどちらのMac上で動作するよう適合した方法やその他の注目すべきペイロードの変更点などの新たな調査結果について詳説している。

　同社は2020年に、Xcodeプロジェクトに感染してMacユーザを攻撃するマルウェア「XCSSET」を初めて発見、当初は単発の事例で使用されたマルウェアファミリとして報告をしていたが、今回の調査結果を踏まえ、現在も攻撃活動を続けているキャンペーンに分類した。

　Kaspersky社は、新しいM1チップを搭載したMac上で動作するマルウェアの新たなサンプルの発見を報告しているが、トレンドマイクロで遠隔操作サーバ（C&Cサーバ）からダウンロードされたバイナリファイルを確認したところ、x86_64アーキテクチャのみを含む3つのファイルを除くほぼすべてのファイルにx86_64およびARM64の両方のアーキテクチャが含まれていることを発見、XCSSETマルウェアは、M1チップへのサポートを追加する他、macOS 11 Big Surに適合させた別の不正活動も実行する。

　XCSSETはSafariの開発版を不正利用してC&Cサーバから悪意あるSafariのフレームワークおよびそれに関連するJavaScriptバックドアを読み込む。XCSSETは、C&Cサーバ内にSafariのアップデートパッケージをホストしており、ユーザが利用するmacOSのバージョンに合わせたパッケージをダウンロードしてインストールし、新しくリリースされたBig Surに適合するために、「Safari 14」向けの新しいパッケージが追加されている。

　macOS Big Sur 11以降のベータ6にはコード改変をより適切に検出する新しいセキュリティ要件が含まれ、実行が許可される前に署名が必要となったが、簡単なアドホック署名でよく、すべてのAppleScriptモジュールでは、openコマンドの代わりに、悪意のあるAppleScriptから作成された偽アプリを実行に新しいlaunchApp関数を使用し、偽アプリや不正ファイルにはcodesign –force –deep -s -コマンドを用いてアドホックコード署名を行う。その後マルウェアはC&Cサーバから事前にアドホック署名が施された独自のオープンツールをダウンロードする。トレンドマイクロでは興味深い点として、M1チップを搭載したMac上の偽アプリでは/usr/bin/openコマンドが問題なく実行されるにもかかわらず、独自のオープンツールを使用していることを挙げている。

　トレンドマイクロではXCSSETによる脅威からシステムを保護するために、ユーザは正規のマーケットからのみアプリをダウンロードするよう注意を呼びかけている。