FirefoxやOnyXなどに付随し、他人のMacで仮想通貨のマイニングを行うマルウェア「OSX/CreativeUpdater」はアクティビティモニタの起動を監視しているそうです。詳細は以下から。
Mac専用のアプリ配布&ダウンロードサイト「MacUpdate」は現地時間2018年02月02日、02月01日に同Webサイトがハッキング被害に遭い、Firefoxを配布している”mozilla.net”やOnyXやDeeperを配布している”titanium-software.fr”へのリンクが書き換えられ、悪意のあるユーザーのWebサイトへ誘導され、Bitcoinのマイニング機能を搭載したマルウェア“OSX/CreativeUpdater“が一緒にダウンロードされた可能性があると発表しましたが、
Jess-MacUpdate EDITOR Feb 01, 2018
If you have installed-and-run Firefox 58.0.2 since 1 February 2018, please note that we have investigated a suspicious link to a Firefox update posted and found it to be malicious – we have removed the link.Firefox for Mac – MacUpdate
このマルウェアの解析を行っているObjective-SeeのPatrickさんによると、”OSX/CreativeUpdater”にはMacで起動しているプロセスやCPU/メモリ/ネットワーク使用率を表示する「アクティビティモニタ」アプリが起動した場合に機能を停止するステルス機能が実装されているそうです。
on one hand i'm stoked to see macOS malware deploying some 'stealth' techniques 👾🙈…on the other hand when such stealth is "unload when Activity Monitor is running"….yah, lame 🙄🙄🙄 #OSXCreativeUpdater #CryptoMiner pic.twitter.com/eSVXGyTKiN
— patrick wardle (@patrickwardle) 2018年2月4日
while [ 1 ] do if (ps aux | grep "Activity Monitor" | grep -v grep > /dev/null) then launchctl unload -w ~/Librrary/LaunchAgents/MacOS.plist elif ! (ps aux | grep sysmdworker | grep -v grep > /dev/null) fi sleep 5 done
ステルス機能によりユーザーは自身のMacが仮想通貨のマイニングに利用されプロセスが圧迫されても「アクティビティモニタ」アプリを起動するとマイニングが停止されるためMacの異変に気づきにくいと思われるので、MacUpdate経由で何かのアプリをダウンロードされた方は「Malwarebytes for Mac」やこちらの方法で感染のチェックをする事をお勧めします。
コメント
アクティビティモニタから逃れるソースコードを掲載しておりますが、セキュリティ上問題ないと判断した上の公開でしょうか。
このコード、未公開の脆弱性を利用したわけでも、rootkitみたいな厄介なものも使ってないし、みんなが驚くような画期的手法でもない、ごく簡単なものだよ。
スクリプトを書ける人なら誰でもすぐに思いつく程度の初歩的なコードに問題はないかと。
psコマンドでプロセス一覧を見て、その中からgrepコマンドでアクティビティモニタがあればMacOS.plistをアンロードするってだけだよ
誰でも(スクリプトを書ける人なら誰でも)思いつく代物だね
常にアクティビティモニタを立ち上げている俺様には被害なし!