MacOSのウイルスとセキュリティ上の欠陥のリスト

Red Canary Security社は、M1プロセッサを搭載したMacを標的としたこのマルウェアを発見しました。シルバースパロウと呼ばれるマルウェアは、すでに29、139台のMacコンピューターに感染しています。ターゲットは、米国、英国、カナダ、フランス、ドイツを含む153か国以上からです。マルウェアが脅威をもたらす範囲と、すべてのターゲットがM1Macを持っているかどうかはまだわかっていません。

Pirri / GoSearch22

これはアドウェアアプリケーションです。また、M1 Macを対象としており、AppleのARMプラットフォーム用に特別にコンパイルされています。他のアドウェアと同様に、さまざまな侵入型広告を配信します。

FakeFileOpener

このアプリは、システムオプティマイザーとして承認されています。ただし、これは望ましくない可能性のあるアプリケーションであり、ポップアップを表示するユーザーに、アプリを開くために特定のソフトウェアが必要であり、Web上でそのようなソフトウェアを検索するためのヘルプを提供することを提案します。他のケースでは、人々は偽のシステム感染メッセージを受け取っています。ソフトウェアは、存在しない問題を削除するためにダウンロードするために提供されている他のいくつかの不要なアプリをプッシュします。

ThiefQuest（別名EvilQuest）

このマルウェアは、ロシアのトレントフォーラムで見つかった海賊版ソフトウェアを介して拡散しています。 2017年に最初に観察されたとき、ランサムウェアであると教えられていました。ただし、ランサムウェアタイプのウイルスのようには機能しません。ファイルを暗号化しますが、身代金を支払い、その後ファイルを復号化する証拠をユーザーに提供しません。マルウェアは身代金を強要するのではなく、ユーザーのデータを取得しようとしています。

LoudMiner

LoudMiner、別名Bird Minerは、暗号通貨マイナーです。 Macの力を使って収益を上げようとします。これは2019年に最初に観察されました。クラックされたインストール済みのAbletonLiveは、このマルウェアの配布に使用されます。

SearchAwesome

これはMacOS向けのアドウェアであり、2019年に実際に観察され、Webトラフィックを暗号化した後、ユーザーを邪魔な広告で邪魔します。

FakeAV

これは、MacOS用のアンチウイルスアプリケーションを装った悪意のあるソフトウェアに付けられた総称です。

GravityRAT

GravityRATは、接尾辞が示すように、トロイの木馬タイプのマルウェアです。セキュリティ調査によると、Kasperskyは、マルウェアがMacデバイスにも影響を与える可能性があると述べています。 RATは、オフィスファイルをアップロードし、自動スクリーンショットを撮り、キーボードログを記録できます。開発者証明書を盗んでシステムに侵入し、.net、python、Electronからさまざまな正当なプログラムの複数のコピーを作成します。

XCSSETマルウェア

このマルウェアは、Githubに投稿されたXcodeプロジェクトを通じて配布されます。このマルウェアは実際には、WebkitとDataVaultの脆弱性を悪用するウェアです。これは、Safariブラウザを介してApple、Google、Paypal、およびYandexサービスのログイン詳細を収集することを目的としています。また、Skype、Telgram、QQ、Wechatを介して送信された情報やメッセージを収集できます。

OSX /シュレイヤー

Integoに基づいて、OSX / Shlayerマルウェアの新しい亜種が、2018年2月に偽のFlash Playerインストーラーを介して配布されていることが判明しました。インストールの過程で、インストーラーはAdvanced MacCleanerのコピーをダンプします。ユーザーのデバイスが感染しており、問題を解決するにはソフトウェアを使用する必要があると記載されています。

このようなメッセージを受け取った場合、それは単なる詐欺であるため、AdobeFlashプレーヤーを更新する必要があることを頻繁に伝えるとは決して信じないでください。

Integoは、ユーザーに必要なすべての手順をガイドするインストールガイドを起動するときに、MaOSCatalinaのセキュリティメッセージを回避するために使用されているこの新しいトロイの木馬を発見しました。

OSX / CrescentCore

このアプリは、漫画本のダウンロードサイトのふりをする可能性のある複数のWebサイトで見つけることができます。このようなサイトは、Google検索結果にも表示できます。 CrescentCoreは、偽のFlashPlayerインストーラーのDMGファイルを装っています。その前に、システムが仮想マシンであるかどうかをチェックし、ウイルス対策ツールを探します。マシンが保護されていない場合、AdvacedMacクリーナーSafari拡張機能という名前のMacであるLaunchAgentがインストールされます。

Crescent Coreは、Appleからの開発者証明書を持っていたため、AppleのGatekeeperをバイパスできます。ただし、この場合、署名は最終的にAppleによって取り消されます。ゲートキーパーはそれを止める必要がありますが、それを乗り越えることができます。

OSX /リンカー

2019年に、ゲートキーパーのゼロデイ脆弱性のエクスプロイトを通じて配布されることが判明しました。この脆弱性は、Appleが90日以内に脆弱性を修正できなかった後、5月24日にマルウェアを発見した同じ人物によってその年に開示されました。

OSX / NewTab

このマルウェアは、SafariWebブラウザにタブを追加します。登録済みのAppleDeveloperIDでデジタル署名されています。

NetWireとMokes

Integoは、これをバックドアマルウェア、つまりキーストロークを記録し、スクリーンショットを撮る機能を備えたマルウェアと説明しました。

CookieMiner

これは2019年1月末に発見された暗号通貨マイナーウイルスです。このマルウェアは、ユーザーのパスワードと暗号ウォレットのログインデータをクロムから盗み、暗号通貨交換とiTunesへのアクセスに関連付けられたCookieを使用するための認証を取得するように設計されていますバックアップ。この脅威を発見した研究者であるユニット42は、金融口座を使用した後は、ブラウザをクリアし、すべてのキャッシュを削除することをユーザーに提案しています。

Mac Auto Fixer

これは、システム上の他のソフトウェアにバンドルされていることが多い、望ましくない可能性のあるプログラムです。ポップアップやさまざまな邪魔な広告が表示されます。

Mshelper

これは、2018年に最初に発見されたクリプトマイナーです。被害者は、マルウェアがシステムに侵入すると、ファンがかつてないほど速く動作し始め、システムが通常よりも熱くなり、バックグラウンドプロセスがリソースを占有していることを示していると報告しました。

MaMi

このマルウェアは、HackerNewsによって最初に報告されました。オンライントラフィックを悪意のあるサーバーに再ルーティングし、機密情報を中断する可能性があります。このマルウェアは、暗号化された通信を傍受するために新しいルート証明書をインストールすることもできます。

DoK

CheckPoint Software Technologiesは、2017年4月末にこのマルウェアを発見しました。このマルウェアはトロイの木馬であり、Appleの保護を回避でき、ユーザーの許可を得なくても、SSL-TLS暗号化接続でMacに出入りするすべてのトラフィックを乗っ取る可能性があります。。このマルウェアは、スパムメールキャンペーンを通じてユーザーを標的にします。そのようなマルウェアがシステムに侵入したくない場合は、疑わしく無関係と思われる電子メールに応答しないようにする必要があります。

Xエージェント

このマルウェアは、パスワードを盗んだり、スクリーンショットを撮ったり、Macに保存されているiPhoneのバックアップを取得したりすることができます。これはウクライナ軍を標的にしており、APT28サイバー犯罪グループの仕事であると考えられていました。

MacDownloader

セキュリティ研究者は、2017年にこの脅威についてユーザーに警告しました。マルウェアはAdobeFlashの偽のアップデートに潜んでいることが判明しました。インストーラーを実行すると、Macでアドウェアが実行されているよりもアラートが表示されます。ただし、ユーザーが[削除]ボタンをクリックし、Macでパスワードを入力すると、マルウェアはこれらのデータをリモートサーバーに送信しようとします。このような攻撃を回避するには、Adobeのサイトをチェックして、フラッシュのアップデートがリリースされているかどうかを確認する必要があります。

ショウジョウバエ

このマルウェアは、スクリーンショットやWebカメラの画像、およびネットワークに接続されているデバイスに関する情報をキャプチャすることができます。

ピリット

このマルウェアは、2016年4月に、AdobePhotoshopのMicrosoftOfficeのひびの入ったバージョンに隠されていることが判明しました。 Cyberreasonの研究者であるAmitSerperによると、マルウェアはroot権限を取得し、新しいソフトウェアをインストールするために新しいアカウントを作成する可能性があります。

KeRanger

Kerangerはランサムウェアであり、2016年3月にMacオペレーティングシステムを標的とすることが初めて確認されたファイル暗号化マルウェアです。このマルウェアは、Transmission torrentclientという名前のソフトウェアのバージョンとともに配布されました。

Palo AltoNetworkのJinChenとClaudXiaoが、KeRangerの仕組みについて説明します。ここで、「KeRangerアプリケーションは有効なMacアプリ開発証明書で署名されているため、AppleのGatekeeper保護をバイパスできました。ユーザーが感染したアプリをインストールすると、埋め込まれた実行可能ファイルがシステムで実行されます。KeRangerその後、3日間待機してから、Torアノニマイザーネットワークを介してコマンドアンドコントロール（C2）サーバーに接続します。その後、マルウェアはシステム上の特定の種類のドキュメントおよびデータファイルの暗号化を開始します。暗号化プロセスが完了すると、KeRangerは被害者に1ビットコインの支払いを要求します。（約$ 400）特定のアドレスにファイルを取得します。さらに、KeRangerはまだ活発に開発中であるようで、被害者がバックアップデータを回復できないようにTimeMachineバックアップファイルを暗号化しようとしているようです。

「パロアルトネットワークスは3月4日に、ランサムウェアの問題をTransmissionProjectとAppleに報告しました。Appleはその後、悪用された証明書を取り消し、XProtectアンチウイルス署名を更新し、TransmissionProjectは悪意のあるインストーラーをWebサイトから削除しました。PaloAltoNetworksも更新しました。 KeRangerがシステムに影響を与えるのを防ぐためのURLフィルタリングと脅威防止。」

Safari-取得

Malwarebytesは、2016年11月にテクニカルサポートWebサイトから発信されたMacを標的としたサービス拒否攻撃の文書化を開始しました。調査結果によると、他の攻撃と同様に、ユーザーが特定のリンクやマルウェアをクリックしたときなどのソーシャルエンジニアリングやユーザーエラーに依存します。デバイスにインストールされています。 Macのバージョンに応じて、攻撃には2つのタイプが考えられます。メールがハイジャックされて大量のドラフトメールを作成するか、iTunesを複数回開くかです。ただし、最終的な目標は同じです。つまり、システムメモリを過負荷にして、シャットダウンまたはシステムのフリーズを強制することです。

システムの脆弱性に注意する

すべての脆弱性が公開されるわけではありませんが、これは詐欺師がMacを乗っ取るために依存しているこれらの脆弱性のみです。 Macの脆弱性の悪用がマルウェア感染につながる一般的なケースは次のとおりです。

Meltdown＆Spectre

2018年1月、Mac、iPhone、iPadはチップの欠陥の影響を受け、Appleは次のように強調しました。これらの問題はすべての最新プロセッサに当てはまり、ほぼすべてのコンピューティングデバイスとオペレーティングシステムに影響します。」

Appleによれば、スペクターは「境界チェックバイパス」または「分岐ターゲットインジェクション」のいずれかであり、カーネルメモリ内のアイテムをユーザープロセスが利用できるようにします。

同社はMeltdownの欠陥に対するパッチを発行し、これらの脆弱性から保護するために、ソフトウェアのダウンロードには公式ソースのみを使用するようユーザーにアドバイスしています。

ズームの脆弱性

ビデオ会議アプリの脆弱性は6月に明らかになりました。そうすれば、人々のビデオ通話を許可なく簡単に追加できます。MacのWebカメラは常にアクティブになっています。

このゼロデイ脆弱性は、90日以内に行動できなかったために高度に発見され、公表されました。この開示に続いて、ZoomとAppleの両方が脆弱性に対処しました。

Wordマクロウイルス

Microsoft Office、Excel、PowerPointなどのアプリケーションでは、マクロプログラムをドキュメントに追加できるため、これらのドキュメントでマクロが自動的に実行されます。

Macバージョンは2008年以来、これに問題はありませんでした。その後、Appleはマクロサポートを削除しました。しかし、2011年にこの機能が再導入され、2017年2月に、Wordマクロという名前のマルウェアが発見されました。

このマルウェアは、キーロガーとして機能するためのPythonコードを実行し、スクリーンショットの取得者としても機能します。ウェブカメラにアクセスすることもできます。