コンピュータセキュリティの専門家は、CVE-2019-1457アドバイザリに記載されている欠陥を使用して、macOSユーザーに対する危険で進行中の攻撃について警告します. 複雑な感染を計画して実行するために、ハッキンググループがこの欠陥を悪用しています. これは、最近ではより危険なドキュメントベースのエクスプロイトチェーンの1つと見なされています.
macOSユーザーがCVEを介して攻撃-2019-1457マクロに感染したドキュメントを使用した複雑なエクスプロイト
マクロベースのドキュメント攻撃は、Windows上のコンピューター犯罪者によって広く使用されている一般的なメカニズムの1つです。. それらのほとんどは、ペイロードのダウンロードを詐欺ファイルのマクロに直接埋め込むことにより、比較的単純なアプローチを使用していますが, 現在、検出されたはるかに複雑な方法があります.
CVE-2019-1457アドバイザリは、ほとんどの場合、一般的な攻撃アプローチがどのように実行されるかを示しています. これは、MicrosoftOfficeバージョンで見つかったバグです。 MicrosoftOfficeExcelのセキュリティ機能のバイパス — ターゲットファイルに挿入する. これはバージョンで動作することが確認されています 2016 と 2019 macOSで. ハッカーはターゲットユーザーデータを作成し、悪意のあるマクロを挿入します. 通常、それらは特定のマルウェアのある種のペイロードキャリアを含むようにプログラムされます.
この洗練された方法で作成された高度なハッカー戦術とマクロを使用して、アナリストは次のことが可能であることを発見しました Officeアプリのサンドボックスプロファイルを悪用する プログラムのセキュリティを上書きします. その結果、マルウェアの作成者はターゲットファイルシステムのどこにでもファイルを作成できます. その結果、この方法で作成されたマクロに感染したドキュメントを使用して、 複雑なローカルベースのマルウェアを起動する オペレーティングシステムのセキュリティをバイパスする必要な手順で. その結果、あらゆる種類のマルウェアペイロードをインストールしているときに、次のアクションを実行できます。:
- セキュリティ機能のバイパス — ホストされているコードに挿入できるコマンドを使用して、オペレーティングシステムの一部である可能性のあるセキュリティアプリケーションやサービスをバイパスできます。. これにはアンチウイルスクライアントが含まれます, ファイアウォール, 侵入検知システムと仮想マシンホスト.
- システム構成の変更 — ウイルスコードはシステムを再プログラムする可能性があり、 Windowsレジストリ値の変更 また システムブート構成の変更. 特定の機能を実行すると、ユーザーにパフォーマンスの問題が発生します, データの損失、さらには機密性の高いユーザーファイルの削除. 多くの場合、コンピュータの電源がオンになったときに自動的に起動するように、運ばれるペイロードを構成できます。. また、特定のリカバリオプションへのアクセスを拒否する場合もあります.
- ファイルの変更 — 多くの場合、これらのドキュメントを通じて、ハッカーは基盤となるOfficeプログラムをプログラムして、新しいファイルを作成したり、既存のファイルの内容を編集したりできます。.
このアプローチを使用すると、人気のあるすべてのカテゴリのウイルスの多くを配信できます. 特に危険なのは トロイの木馬クライアントの感染 ホストの制御を引き継ぐために使用されます. だんだん macOSランサムウェア この方法を使用してプッシュされています. これらは、ユーザーファイルを処理し、暗号通貨の支払いのために被害者を恐喝するように設計されたファイル暗号化ウイルスです.