仮想通貨レートをメニューバーに表示する「CoinTicker」というアプリが、2種類のバックドアをMacに作成するマルウェアだったことが確認される。

　仮想通貨のレートをメニューバーに表示する「CoinTicker」というアプリが、2種類のバックドアをMacに作成するマルウェアだったことが確認されたそうです。詳細は以下から。

　米セキュリティ企業Malwarebytes LabsのThomas Reedさんは現地時間2018年10月29日、同社のフォーラムでID:1vladimirさんという方がMacのメニューバーにBitconやEtherium, Moneroなどの仮想通貨レートを表示する「CoinTicker」というサードパーティ製アプリが怪しいプロセスを実行しているという報告を受け調べたところ、このアプリがMacに2種類のバックドア「EvilOSX」と「EggShell」をインストールしていたことが確認されたとして、ユーザーに対し注意を促しています。

Although this functionality seems to be legitimate, the app is actually up to no good in the background, unbeknownst to the user. Without any signs of trouble, such as requests for authentication to root, there’s nothing to suggest to the user that anything is wrong.
When launched, however, the app downloads and installs components of two different open-source backdoors: EvilOSX and EggShell.

Mac cryptocurrency ticker app installs backdoors – Malwarebytes Labs

　EvilOSXとEggShellは両方ともGitHubに公開されているMacやLinuxをターゲットとした古いオープンソースのバックドア(Evil RAT)ですが、CoinTickerはアプリをインストール＆起動すると、これらのバックドアをダウンロードし、外部のCommand&Controlサーバーとの接続を始めるそうで、バックドアが作成されたMacは攻撃者がroot権限を取得していなくても外部から様々な操作が可能となります。

One interesting note about this malware is that none of it requires anything other than normal user permissions. Root permissions are not needed. There is often an erroneous over-emphasis on malware’s need for root privileges, but this malware is a perfect demonstration that malware does not need such privileges to have high potential for danger.

Mac cryptocurrency ticker app installs backdoors – Malwarebytes Labs

　Thomasさんは当初このCoinTickerアプリがHandbrakeやTransmissionが被害に遭ったようなサプライチェーン攻撃を受けたと考えていたそうですが、このアプリはリリース当初から正当なアプリではなかったようで、このアプリが配布されているサイトは今年の07月13日にドメインが取得され、現在もアクセス可能となっているそうです。

　米MalwarebytesはすでにVirusTotalに検体を公開し、同社のMalwarebytes for Macはこのアプリの検出に対応しているので、気になる方はチェックしてみてください。

Indicators of Compromise

• /private/tmp/.info.enc
• /private/tmp/.info.py
• /private/tmp/.server.sh
• /private/tmp/espl
• ~/Library/LaunchAgents/.espl.plist
• ~/Library/LaunchAgents/com.apple.[random string].plist
• ~/Library/Containers/.[random string]/[random string]

Macを標的とした仮想通貨関連のマルウェア

• 2017年08月:
  ▶オンラインFPSゲームCS:GOのハッキングツールに仮想通貨マイニングツール「MinerGate」が同梱。
• 2018年02月:
  ▶MacUpdateがハッキングされ、仮想通貨のマイニング・マルウェア「OSX.MudMiner.A」が実装されたFirefoxやOnyXがダウンロードされる。
• 2018年02月:
  ▶仮想通貨のマイニング・マルウェア「OSX.MudMiner.A」には他にも23種類の亜種が存在していたことが確認される。
• 2018年02月:
  ▶Appleが仮想通貨のマイニング・マルウェア「OSX.MudMiner.A」をMRTで対策へ。
• 2018年03月:
  ▶仮想通貨のマイニング機能搭載のカレンダーアプリがMac App Storeで公開されAppleがガイドライン違反と認定。
• 2018年05月:
  ▶MacのCPUを過度に利用する正体不明のプロセス「mshelper」が仮想通貨マイニングツール「XMRig」を偽装したマルウェアだったことが確認される。
• 2018年10月:
  ▶2種類のOSSバックドアEvilOSXとEggShellをインストールする「CoinTicker」が発見される。

• Mac Antivirus Replacement – Malwarebytes for Mac
• Mac cryptocurrency ticker app installs backdoors – Malwarebytes Labs