拡張頭蓋 | Extended Cranium

もしかすると誰かの役に立つかもしれないことを書き留めておく

2018-02-04: セキュリティニュースまとめ: ソフトウェア ダウンロード アグレゲーション サービス サイト MacUpdate で侵害、Monero マイナー入りアプリケーションが配信される

マルウェア 仮想通貨 暗号通貨 Monero マイナー マイニング 採掘 スクリプト 情報セキュリティ セキュリティ Mac Adobe FireFox ダウンロードアグレゲーション ソフトウェア更新 配信 Mac OS Mozilla Security cryptocurrency サイバーセキュリティ サイバー犯罪 攻撃手法

ソフトウェア ダウンロード アグレゲーション サービス サイト MacUpdate で侵害、Monero マイナー入りアプリケーションが配信される

元記事 MalwwareBytes Labs

blog.malwarebytes.com

概要

  • インシデントの確認日: 2018-02-01
  • MacUpdate がセキュリティ侵害を受け、同サービスが配信するソフトウェアに暗号通貨 Monero の採掘 (マイニング) 用スクリプトが埋め込まれて配信される
  • MacUpdate は正規のソフトウェアデベロッパの配信サービスを取りまとめて一覧表示するいわゆる「ダウンロードアグレゲーション」サービスを提供しているサイト

発生した侵害内容

  • MacUpdate サイトが参照する各正規サイトの URL が書き換えられ、悪意のあるソフトウェアがダウンロードされる
正規ドメイン ドメイン
titanium-software.fr titaniumsoftware[.]org
mozilla.net cdn-mozilla[.]net

同サービスから配信された感染アプリケーション

  • OnyX (Titanium Software)
  • Deeper (Titanium Software)
  • FireFox 58.0.2 (Mozilla)

感染機序

  1. 侵害を受けたサイト上でユーザーが偽ドメインを開き、ユーザーがダウンロードしようとしたソフトウェア(以降この正規ソフトウェア部分を指して「おとり」)を同梱した感染済みソフトウェア(以降この部分を指して「悪意のあるスクリプト」)をダウンロード
  2. 「悪意のあるスクリプト」は「おとり」に似せて作られた *.dmg ファイルで、自身をアプリケーションフォルダにドラッグ & ドロップしてインストールするようユーザーに促す
  3. ユーザーがインストールした「悪意のあるスクリプト」を開くとマルウェアペイロードAdobe保有する正規ドメインの public.adobecc.com からダウンロードされる
  4. 「悪意のあるスクリプト」は続いて同梱していた「おとり」を開き、ユーザーがダウンロードしたつもりの正規ソフトウェアが正常に起動されたように装う
  5. 「悪意のあるスクリプト」はダウンロードしたマルウェアペイロードをユーザーの /Library フォルダ以下に展開し、MacOSupdate.plist というファイルをインストールして定期的にこのスクリプトを実行させるためのローンチエージェントを登録する
  6. MacOSupdate.plist が実行されると、新しい MacOS.plist がダウンロードされて MacOSupdate.plist に置換される
  7. MacOS.plist が悪意のある sysmdworker プロセスをロードする:
sh -c ~/Library/mdworker/sysmdworker -user walker18[@]protonmail.ch -xmr
  1. sysmdworker が Monero のマイニングを行うマルウェア本体で、minergate-cli というコマンドラインツールで採掘を行い、定期的に minergate[.]com に、上記の引数に指定されているメールアドレス walker18[@]protonmail.ch でログインする

マルウェアの特徴

  1. 感染 Onyx の動作要件は MacOS 10.7 とそれ以降だが、正規の Onyx は MacOS 10.13 以降でのみ動作する。したがって MacOS 10.7 より新しく MacOS 10.13 より古いシステム上で感染した Onyx をインストールして実行した場合、マルウェア部分のみが起動するものの「おとり」部分が起動できない。これにより、MacOS 10.3 より古いシステムを利用しているユーザーは、ソフトウェアに問題が発生していることに気づくチャンスがある。
  2. 感染 Deeper の場合、攻撃者は同梱ソフトウェアを間違え、おとり部分に Deeper の代わりに Onyx を同梱してしまっている。このため、Deeper をインストールしたら Onyx が起動する結果となる。やはりここでも問題が発生していることに気づくチャンスがある。

まとめ

  • ダウンロード アグレゲーション サービスは利用しない。正規サイトが侵害されないわけではないが、アグレゲーションサイトは格段に侵害リスクが高い。こうしたサービス提供者自身がマルウェアアドウェアなどを正規ソフトウェアに同梱する場合もあるし、セキュリティ上の問題が多い。
  • 正規のソフトウェア開発者からダウンロードする場合でも、ソフトウェアの評価やレビュー数を常に意識する。極端に評価の低いソフトウェアやレビュー数の少ないソフトウェアを利用しない。
  • ダウンロードしたソフトウェアが起動しない、CPU 使用率が 100% に張り付いたままになるなど意図したように動作しない状況に気づいたら何か問題が発生している可能性があると疑い、システム全体をセキュリティソフトウェアでスキャンする
  • 最後に「Mac はウイルスに感染しない」という馬鹿げた都市伝説を信じてはいけない