Macを標的とし、偽の仮想通貨トレーディングアプリのインストーラーに潜んで感染するLazarusグループのマルウェアが確認されそうです。詳細は以下から。
ロシアのセキュリティ企業Kaspersky Labが運営するSecureListによると、2018年06月頃からWindows PCをターゲットとしたCelas Limitedが開発した「Celas Trade Pro」という仮想通貨のトレーディングアプリに紛れて感染するマルウェアが確認されていたそうですが、このマルウェアがmacOSにもポート(移植)され公開されていたそうです。
ICYMI: Operation AppleJeus – the fascinating story of how Lazarus hit a cryptocurrency exchange with fake installers and macOS malware. https://t.co/EKYNZYzttH pic.twitter.com/ZWzQYUX0zV
— Securelist (@Securelist) 2018年8月26日
To ensure that the OS platform was not an obstacle to infecting targets, it seems the attackers went the extra mile and developed malware for other platforms, including for macOS. A version for Linux is apparently coming soon, according to the website. It’s probably the first time we see this APT group using malware for macOS.
Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware – Securelist
このマルウェアは北朝鮮が関与していると思われるLazarusグループによって開発されたインストーラー&マルウェアのようで、マルウェアがC&Cサーバーとの通信を行うAccept-Language HTTPヘッダーには北朝鮮の言語コード(ko-kp)が含まれており、このマルウェアにはプロジェクトに「Jeus」というコードネームが付けられていたため、Kasperskyは一連の騒動を「Operation AppleJeus」と呼んでいるようですが、
Trojanized trading program for macOS
For macOS users, Celas LLC also provided a native version of its trading app. A hidden “autoupdater” module is installed in the background to start immediately after installation, and after each system reboot. It keeps contacting the command and control (C2) server in order to download and run an additional executable from the server. The communication conforms to the Windows version of the updater and is disguised as an image file upload and download, while carrying encrypted data inside.
Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware – Securelist
既に仮想通貨取引所が狙われているとKaspersky LabはBleeping Computerのインタビューに答えており、仮想通貨関連のマルウェアは数年前からmacOSのプラットフォームにもポートされ、確認されているだけで以下のような事例がありました。
Macを標的とした仮想通貨関連のマルウェア
- 2017年08月:
▶オンラインFPSゲームCS:GOのハッキングツールに仮想通貨マイニングツール「MinerGate」が同梱。 - 2018年02月:
▶MacUpdateがハッキングされ、仮想通貨のマイニング・マルウェア「OSX.MudMiner.A」が実装されたFirefoxやOnyXがダウンロードされる。 - 2018年02月:
▶仮想通貨のマイニング・マルウェア「OSX.MudMiner.A」には他にも23種類の亜種が存在していたことが確認される。 - 2018年02月:
▶Appleが仮想通貨のマイニング・マルウェア「OSX.MudMiner.A」をMRTで対策へ。 - 2018年03月:
▶仮想通貨のマイニング機能搭載のカレンダーアプリがMac App Storeで公開されAppleがガイドライン違反と認定。 - 2018年05月:
▶MacのCPUを過度に利用する正体不明のプロセス「mshelper」が仮想通貨マイニングツール「XMRig」を偽装したマルウェアだったことが確認される。
AppleJeus対策
オペレーションAppleJeusの感染源となっている偽の仮想通貨トレーディングアプリ「Celas Trade Pro」の検体は既にVirusTotalに登録されており、Kasperskyをはじめとして、TrendMicroやSymantec、ESET、BitDefenderなどが検出に対応しており、
- CelasTradePro-Installer.dmg – VirusTotal
Malwarebytes for Mac(関連記事)でも「OSX.Fallchill」として検出&削除が可能になっているそうなので、気になる方はスキャンしてみてください。
コメント