検索:
ホーム   »   不正プログラム   »   Mac向けマルウェア「XCSSET」を追う:Telegramなど複数アプリからの情報窃取を解説

Mac向けマルウェア「XCSSET」を追う:Telegramなど複数アプリからの情報窃取を解説

  • 投稿日:2021年8月24日
  • 脅威カテゴリ:不正プログラム, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロではMac利用者を狙うマルウェア「XCSSET」の攻撃キャンペーンを追跡調査しています。前回2021年5月の記事では、最新のmacOS 11「Big Sur」を対象として追加された機能についての調査結果を報告しました。その後も同キャンペーンは攻撃ツールにさらなる機能を追加しつつ継続しています。トレンドマイクロは監視を継続する中で、XCSSETがさまざまなアプリから情報を窃取する手口を確認しました。情報窃取は弊社で最初にXCSSETを確認した時から存在している動作です。

Figure 1. Code of telegram.applescript

図1:XCSSETが使用する不正スクリプト「telegram.applescript」の例

■マルウェア「XCSSET」が情報を窃取する手口

XCSSETは最初のバージョンから、さまざまなアプリから収集したデータをコマンド&コントロール(C&C)サーバに送信することが確認されていました。しかし、そのデータがどのように利用されるのかは分かっていませんでした。その後、データを窃取するメカニズムが判明し、窃取されるデータには多様な目的に利用できる貴重な機密情報が含まれていることが確認されました。

ここでは、XCSSETが使用する悪意のあるAppleScriptファイル「telegram.applescript」を例に解説します。名前が示す通り、これは「Telegram」を標的とする不正スクリプトです。主なロジックは、「~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram」というフォルダをZIPファイルに圧縮し、そのファイルをC&Cサーバにアップロードするというものです。

このフォルダ上のファイルが窃取される目的を確認するために、2台のMacコンピュータを用いてテストを行いました。

  1. コンピュータAとコンピュータBの両方にTelegramをインストールする
  2. コンピュータAにて有効なTelegramアカウントでログインする。コンピュータBではTelegramを使用しない
  3. コンピュータAの「~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram」フォルダをコンピュータBにコピーし既存のフォルダと入れ替える
  4. コンピュータBでTelegramを実行する。このとき、コンピュータAで使用したアカウントでログイン済みであることが確認される

つまり、該当のフォルダ上のファイルを入手できれば、異なるコンピュータ上でも感染コンピュータがログインしていたTelegramアカウントに不正アクセスすることができます。これが、攻撃者が当該フォルダ上のファイルを窃取する目的であると考えられます。

macOSでは、Application sandboxディレクトリの「~/Library/Containers/com.xxx.xxx」および「~/Library/Group Containers/com.xxx.xxx」は、一般ユーザでも読み取り・書き込み権限でアクセスすることが可能です。この点はiOSでの運用とは異なります。macOSでは、すべての実行ファイルがサンドボックス化されているわけではないため、簡単なスクリプトによってサンドボックスディレクトリに保存されているすべてのデータを窃取することが可能になります。アプリケーション開発者は、機密データ、特にログイン情報に関連するデータを、サンドボックスディレクトリに保存しないようにしてください。

■XCSSETが狙う機密データ

XCSSETは、攻撃対象アプリから重要な個人情報を大量に収集しており、そのほとんどがサンドボックスディレクトリに保存されていました。ここでは、それがChromeでどのように実行されるかを解説します。

Chrome では、収集されるデータにユーザが保存していたパスワードが含まれます。データをダンプするためにマルウェアは「security find- generic-password -wa ‘Chrome’」というコマンドを使用して 「safe_storage_key」を取得する必要があります。しかし、このコマンドを利用するにはroot権限が必要です。マルウェアはこの条件をクリアするため、図2に示すようにroot権限を必要とするすべての操作を1つの関数にまとめています。

Figure 2. Operations requiring administrator privilege

図2.:root権限(管理者権限)を必要とする操作

その後、偽のダイアログボックスが表示され、ユーザはこれらの権限を許可するよう促されます。マルウェアがChromeのsafe_storage_keyを取得すると、すべての機密データを復号してC&Cサーバにアップロードします。

Figure 3. Information stealing code targeting Google Chrome

図 3:Google Chromeから情報を窃取するコード

Figure 4. Information stealing code targeting Google Chrome

図 4:Google Chromeから情報を窃取するコード

また、同様のスクリプトで、以下のアプリケーションをターゲットにするものが確認されています。

  • Contacts
  • Evernote
  • Notes
  • Opera
  • Skype
  • WeChat

■新しいC&Cドメイン

2021年4月20日から22日にかけて、以下の新しいドメイン名が出現しましたが、それらはすべてXCSSETがそれ以前にも使用していたIPアドレス94.130.27.189に解決するものでした。

  • atecasec.com
  • linebrand.xyz
  • mantrucks.xyz
  • monotal.xyz
  • nodeline.xyz
  • sidelink.xyz

同様に、以下のドメイン名も正規のIPアドレスから上述の94.130.27.189に解決されるように変更されました。

  • icloudserv.com

これらの新しいドメイン名にはすべて、2021年4月22日から7月21日まで有効な「Let’s Encrypt」のHTTPS証明書がついています。

図 5:C&C サーバの HTTPS 証明書

2021年4月22日以降すべてのC&Cのドメイン名は、194.87.186.66に解決されるようになりました。5月1日、新しいドメイン名「irc-nbg.v001.com」が元のC&CのIPアドレス94.130.27.189に解決されました。この新しいドメイン名は、IRCサーバが同じIPアドレスに設置されていることを示唆していますが、今のところXCSSETとの関連は確認されていません。

2021年6月9日から10日にかけて、XCSSETのC&Cサーバに関連する既存のドメイン名はすべて削除され、代わりに以下の新しいドメイン名が追加されました。

  • atecasec.info
  • datasomatic.ru
  • icloudserv.ru
  • lucidapps.info
  • relativedata.ru
  • revokecert.ru
  • safariperks.ru

しかし、6月24日、これらのサーバは攻撃者によって閉鎖されました。現在、XCSSETの新しいサーバは確認できていません。

■その他の動作の変更

  • Bootstrap.applescript

bootstrap.applescriptの注目すべき変更点の一つ目は、最新のC&Cドメインが使用されていることです。

Figure 6. C&C domains used

図6:bootstrap.applescript が使用するC&Cドメイン

利用可能なドメイン名のほかに、IPアドレスも含まれていることに注意してください。将来すべてのドメインが突然閉鎖されたとしても、IPアドレスでC&Cサーバに到達することができます。

Figure 7. Modules in use

図7:使用されているモジュール

また、Googleによる試験運用版ブラウザ「Chrome Canary」に対してクロスサイトスクリプティング(XSS)を実行するために、新しいモジュール「canary」が追加されていることがわかります。

Figure 8. Modules in use, showing removed module

図8:使用中のモジュール。削除されたモジュールがわかる

くわえて、前回のバージョンと比較すると”screen_sim “の呼び出しが削除されています。

  • Replicator.applescript

ローカルのXcodeプロジェクトを感染させる最初の段階として、前回のバージョンから、注入されるビルドフレーズやビルドルールのIDがハードコードされたIDからランダムに生成されたIDに変更されました。ただし、IDの末尾6文字は「AAC43A」としてハードコードされたままです。最新バージョンでは、ハードコードされた末尾6文字が「6D902C」に変更されています。

Figure 9. Changed postfix

図9:変更された末尾6文字

偽のビルドフェーズとビルドルールを注入する際のスクリプトのロジックについて、以前のバージョンでは感染したXcodeプロジェクト内の隠しフォルダにある不正なMach-Oファイルを呼び出していました。しかしながら、変更後のバージョンでは、curlコマンドを呼び出してC&Cサーバから「a」という名前のシェルスクリプトをダウンロードし、その内容を「sh」に渡して実行させます。この変化によって、最新バージョンに感染したXcodeプロジェクトには追加の不正ファイルが含まれません。

Figure 10. Code for downloading and running the shellcode

図10:シェルコードをダウンロードして実行するためのコード

以下は、C&Cサーバからダウンロードされたシェルスクリプトファイルの内容です。Mach-OコンポーネントPodをC&Cサーバからダウンロードし、/tmp/exec.$$として保存し、実行可能フラグを付加して実行しています。

Figure 11. Downloaded code

図11:ダウンロードされたコード

以前のバージョンと同様に、SHCツールによって「Pods」というMach-Oファイルが生成されます。そこから抽出されたシェルスクリプトの主要なロジックは、以前使用されていたものと非常によく似ています。以下の図は注目すべき変更点のいくつかを示しています。

Figure 12. The working folder changed from “GemeKit” to “GeoServices”

図12:作業フォルダが「GemeKit」から「GeoServices」に変更されている

Figure 13. The fake app’s name changed from Xcode.app to Mail.app

図13: 偽アプリの名称がXcode.appからMail.appに変更されている

Figure 14. Temp files are created for debugging

Figure 14:一時ファイルがデバッグ用に作成されている

■XCSSETによる被害に遭わないためには

確認されたXCSSETの変更点は、マルウェアの動作を根本的に変更するものではありませんが、戦術のいくつかが巧妙化していることが確認できます。今回確認された手口からは、XCSSETが多くのアプリをターゲットにして機密情報を積極的に窃取しようとする様子がうかがえます。

■トレンドマイクロの対策

XCSSETのようにMacを狙う脅威からシステムを保護するため、ユーザは、正規のマーケットからのみアプリをダウンロードしてください。

個人のお客様は、包括的なセキュリティを提供する「ウイルスバスター クラウド」を、またMacのみをご利用の場合は「ウイルスバスター for Mac」などのセキュリティソリューションをご利用ください。

法人のお客様は、XGenセキュリティを活用したUser Protectionソリューションが有効です。User Protectionソリューションは、ゲートウェイからエンドポイントに至るまで多層に渡る保護を提供し、ユーザへの影響を最小限に抑えます。

参考記事:

  • 「Updated XCSSET Malware Targets Telegram, Other Apps」
    by Mickey Jin, Steven Du

翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)

Related posts:

  1. Mac向けマルウェア「XCSSET」、正規ソフトを悪用しUXSS攻撃を実行
  2. Mac向けマルウェア「XCSSET」が最新のmacOS 11やM1チップ搭載端末に対応、攻撃手口を解説
  3. 活発化する「Cryptoランサムウェア」
  4. Windowsインストーラを悪用し不正コードを実行する手法を解説
Tags: Mac向けマルウェアXCSSET


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.