Mac をターゲットにするように設計さ れた新たに発見されたマルウェアは、システムへのアクセスを取得し、機密データを盗むのに効果的でした。
この発見については、インターネット セキュリティ会社 ESET が詳しく発表しており、クラウド ストレージ サービスに依存していることから、このマルウェアを CloudMensis と名付けました。
Bleeping Computer と PCMag が報告しているように、このマルウェアは、キーストロークの登録、ファイルやドキュメントの取得 (リムーバブル ストレージ デバイスからの場合も含む)、電子メール メッセージや添付ファイルの一覧表示に加えて、ユーザーの知らないうちにユーザーのシステムのスクリーンショットを取得することができます。
CloudMensis は、2022 年 4 月に ESET によって初めて検出されました。CloudMensis は、コマンド アンド コントロール (C2) 通信を実行するために pCloud、Yandex Disk、Dropbox を利用します。
このマルウェアは、実行中のプロセスの表示、「シェル コマンドの実行と出力のクラウド ストレージへのアップロード」、任意のファイルのダウンロードとオープンなど、多数の悪意のあるコマンドを実行する機能を提供するという意味でかなり高度です。
CloudMensis は現在明らかになりましたが、マルウェア攻撃の背後にいる者の身元は不明のままです。
ESETの研究者Marc-Etienne Léveillé氏は、「CloudMensisが最初にどのように配布され、誰がターゲットになっているのかはまだ分からない」と述べた。 「コードの全体的な品質と難読化の欠如は、作成者が Mac 開発にあまり精通しておらず、それほど高度ではないことを示しています。それにもかかわらず、CloudMensis を強力なスパイ ツールにし、潜在的なターゲットに対する脅威にするために、多くのリソースが投入されました。」
ESET の分析により、攻撃者が 2022 年 2 月 4 日に最初の Mac ターゲットへの侵入に成功したことが明らかになりました。興味深いことに、CloudMensis はターゲットへの感染に数回しか使用されていません。さらに、Bleeping Computer によると、ハッカーたちの Objective-C コーディング能力から、彼らが MacOS プラットフォームに精通していないことが明らかになりました。
ESETがCloudMensisに関連付けられていたクラウドストレージアドレスを調査したところ、クラウドドライブからの対応するメタデータから、2022年2月4日から4月までに「最大で51人の被害者がいた」ことが判明した。
マルウェアが Mac システム上で実行されると、CloudMensis は検出されることなく Apple の MacOS Transparency Consent and Control (TCC) システムを完全に回避することができます。この機能は、画面キャプチャを実行したりキーボード イベントを監視したりするアプリに対して特定の権限を付与する必要があるウィンドウをユーザーに警告します。
TCC を回避することで、CloudMensis はその後 Mac の画面と関連アクティビティを表示したり、リムーバブル ストレージ デバイスをスキャンしたりできるようになります。
いずれにせよ、Mac 独自のセキュリティ対策をこれほど簡単に回避できるのであれば、このマルウェアは明らかにより高度なものであることがわかります。そして、危険にさらされているのは Mac だけではありません。PCMag は、マルウェアのコンピューティング コードがインテル搭載システムにも侵入できることをどのように確認しているかを強調しています。
「CloudMensisはMacユーザーにとって脅威だが、その配布範囲が非常に限られていることから、標的を絞った作戦の一部として使用されていることが示唆される」とESETは述べた。 「同時に、私たちの調査では、このグループによって未公開の脆弱性(ゼロデイ)が使用されたことは見つかりませんでした。したがって、少なくとも軽減策のバイパスを回避するには、最新の Mac を実行することをお勧めします。」
Mac を所有していて、ウイルスやマルウェアをチェックしたい場合は、 その方法を説明するガイド を必ず参照してください。