2018年2月1日にハッキングされたMacUpdateから広まった仮想通貨のマイニング・マルウェアには他にも23種類の亜種が存在し、2017年末から広まっていたことが確認される。

　2018年2月1日にハッキングされたMacUpdateから広まった仮想通貨のマイニング・マルウェアには他にも23種類の亜種が存在し、2017年末から広まっていたことが確認されたそうです。詳細は以下から。

　Mac専用のアプリ配布＆ダウンロードサイト「MacUpdate」は2018年02月02日、同サイトがハッキング被害に遭いFirefoxやOnyX、Deeperといった人気アプリの公式サイトへのリンクが改ざんされ、仮想通貨(Bitcoin)のマイニング機能のあるマルウェア「OSX/CreativeUpdater」が同梱されたFirefoxなどが配布されていたと発表しましたが、

Jess-MacUpdate EDITOR Feb 01, 2018
If you have installed-and-run Firefox 58.0.2 since 1 February 2018, please note that we have investigated a suspicious link to a Firefox update posted and found it to be malicious – we have removed the link.

Firefox for Mac – MacUpdate

その後、アメリカのセキュリティ企業Malwarebytesがこのマルウェアの検体情報をVirusTotalのデータを元に調査したところ、OSX/CreativeUpdaterの亜種が既に23種登録されており、これらの亜種は最も古いもので2017年10月上旬には公開されVirusTotalに登録されていたそうです。

On February 1, a new Mac cryptominer was discovered being distributed via a hack of the MacUpdate website. Since then, we’ve been doing some digging and found that this isolated incident was just the tip of the iceberg. The malware delivered by the MacUpdate hack appears to be the culmination of something that has been around since at least early October of last year.

New Mac cryptominer has 23 older variants – Malwarebytes Labs

OSX/CreativeUpdaterの亜種

　新たに発見された23種類の亜種で最も古いものは2017年10月05日にVirusTotalに登録されており、仮想通貨のマイニング・マルウェアが同梱されたファイルの名前は“niceass.zip”(いい尻)で、中には以下のファイルが含まれており、

• 画像“ass.jpg”(見ないほうがいい)
• macOSのLaunch Agent“com.zerowidth.launched.apple.plist”
• macOSのDockアプリと同じ名前の実行ファイル”Dock”
• 実行ファイル”Dock”に必要ないくつかのFrameworkが入ったフォルダ

まず、誰もがクリックしそうな”ass.jpg”という画像ファイルはJPEGファイルではなく実際はShell Scriptで、上記の”Dock”実行ファイルを起動するための”Launch Agent”を感染したMacに登録し、最終的に仮想通貨のマイニング機能が付いた実行ファイル”Dock”を起動し、間違ったEmailアドレスでMinergateへのログインを試み、ユーザーのMacのCPUを利用しMoneroという仮想通貨のマイニングを始めるそうで、

Finally, the malicious Dock process is launched, passing in what appears to be an erroneous email address as the username to log in to Minergate. Dock will then suck up as much CPU time as it can to mine the Monero cryptocurrency. Hold on tight as your MacBook Pro’s fans attempt to propel it into flight!

New Mac cryptominer has 23 older variants – Malwarebytes Labs

他にも、WhatsAppのスクリーンショットに偽装されたShell Scripを実行させ、”MacOSupdate.plist”と”MacOS.plist”のLaunch Agentsを登録させる亜種などが2017年12月23日から2018年01月26日にかけて広まっていたそうで、これらのマルウェアには正規のAppleの開発者証明書により署名されており、開発者はRamos JaxsonとTiago (Brandão) Mateusの2人で、TiagoはMacUpdateの事件で広まったFirefoxやOnyXの作成にも関わっています。

　これらのマルウェアの手法はほぼ同じで、感染したMacには以下のファイルが作成されますが、既に「Malwarebytes for Mac」が最新のデータベースで検出に対応したそうなので、気になる方はチェックしてみて下さい。

Indicators of Compromise

• ~/Library/LaunchAgents/com.zerowidth.launched.apple.plist
• ~/Library/LaunchAgents/GoogleSoftwareUpdateAgent.plist
• ~/Library/LaunchAgents/MacOS.plist
• ~/Library/LaunchAgents/MacOSupdate.plist
• ~/Library/Apple/Dock
• ~/Library/mdworker/mdworker

• New Mac cryptominer has 23 older variants – Malwarebytes Labs