MacOSにWindowsでお馴染みのマクロウイルスが登場

マクロベースのマルウェアは、WindowsプラットフォームとMacプラットフォームの境界を超えています。

コマンド&コントロールのインフラストラクチャがロシアの地理的位置にあるIPアドレスに解決されるサイバー犯罪グループは、macOSのみで実行される悪意のあるマクロを含むWord文書を使用しています。

同様のWindowsベースの攻撃と同じスクリプトに従って、添付された文書には魅惑的な件名があります。 同盟国とライバルのダイジェストトランプの勝利 – カーネギー基金の国際平和賞。 “ユーザーが添付ファイルを開こうとすると、文書を表示するためにマクロを有効にする必要があることを知らせるよく知られたダイアログボックスが表示されます。 マクロが有効になっている場合は、ペイロードを実行し、攻撃者のサイトからより多くのコードをダウンロードしようとします。

「これは技術のようなものだが、一方で正当な機能を悪用してメモリ破損やオーバーフローのようなクラッシュを起こすことはなく、パッチを当てることはないだろう」とパトリックウォードル研究担当ディレクターSynack。 Wardleと他の多くの研究者が、マクロとペイロードの動作を分析し、月曜日に報告書を発表した。

「ローテクではあるが、人が倒れば成功率は高くなるだろう」とワーデル氏は語る。 「いつでもユーザーをターゲットに設定できます。だから、トランスクリプトは大成功です。それがマクロが機能する理由です。彼らは間違いなく私の意見では最も弱いリンクです。 ”

この攻撃は、Mac版のWord(WindowsやPages、Wordに似たMacベースの生産性ソフトウェアで実行しようとすると失敗する)でのみ機能します。また、署名されていないコードの実行をブロックするAppleのGatekeeper保護を回避します。マクロは、ユーザーが許可する許可を与えられているため実行されます。

有効になると、マクロはデータをデコードし、EmPyreというオープンソースプロジェクトからPython経由でデータを実行します。 EmPyreは、正当なオープンソースのMacおよびLinuxの侵入テストエージェントで、侵入テストの取り組みでよく使用されます。攻撃者はEmPyreの第1段階のコンポーネントをWord文書に埋め込み、その唯一の目的は第2段階のセキュリティチェック[。] org [:] 443 / index [。] aspでコマンドインフラストラクチャに呼び出すことでした。しかし、このサイトは暗くなっているので、研究者は第2段階が正確であるかどうかは確かではありませんが、残っているEmPyreコンポーネントの可能性は高いです。

「第1ステージで第2ステージが特定のRC4で暗号化されることを期待している場合は特に攻撃者が1つだけのステージを使用する理由はない」とWardle氏は述べている。 「Word文書で実行したコードは、ダウンロードして何かを実行する可能性があるが、EmPyreエージェントの2番目の部分をダウンロードする可能性が高い」

EmPyreの第2段階は、ブラウザの履歴を取得したり、ウェブカメラを起動したり、キーロックやハッシュをダンプするためのモジュールを含む、多くの悪意のある機能を可能にする永続的なMacバックドアです。

「ハッカーの視点からは、これらのさまざまなプラグインを備えたこの素晴らしいオープンソースモジュールがあります。それだけではないのです」とWardle氏は言います。 「彼らがやったことだと思う」

攻撃者の誰がこのキャンペーンの後ろにいるのかは不明ですが、マクロと利用可能なオープンソースツールを利用すると、サイバー犯罪犯ではないでしょうか。セキュリティチェック機関は以前はフィッシングやその他のマルウェアのダウンロードなどのサイバー犯罪活動に関連していました。

「サイバー犯罪のような標準的なものだと思われます。 それは特に進んでいません、彼らはそこにそれを散布し、彼らが得ることができるターゲットがいくつあるかを見ます、 “とWardleは言いました。 “それは信じられないほど洗練されていませんが、それが動作すれば…ほとんどのトランスクリプト攻撃を見て、彼らは0daysを使用していない、そして流行になっている。

参照:

https://threatpost.com/macro-malware-comes-to-macos/123640/

Be the first to comment

コメントをお寄せください

ご登録いただいたメールアドレスは公開されません。


*