真新しいmacOSエクスプロイトが研究者によって明らかにされました. このエクスプロイトにより、SafariのカスタムURLハンドラーを使用して、標的のシステムにマルウェアをリモートインストールできます。. 研究者はデモで攻撃を証明しました. この攻撃はこの特定の攻撃であることに注意する必要があります, リモートですが, ユーザーとの対話が必要であり、技術に精通したユーザーに対して成功することが証明されています, 研究者は警告した.
彼らの中で 報告, セキュリティの専門家は、「完全にパッチが適用されたmacOSシステムへの初期アクセスを取得する手段としてマルウェアが利用しているリモート攻撃」について説明しています。. この第1段階の攻撃が、悪意のあるコードがさまざまな悪意のあるアクティビティをすべて実行できるようにするmacOSの欠陥と組み合わされた場合, 「エレガントな, まだmacOSに対する有害な攻撃」. そうは言っても, この攻撃が「攻撃的なサイバースパイキャンペーンは、新しい感染メカニズムでMacを感染させます」.
WINDSHIFTAPTmacOSエクスプロイト: 斬新で洗練された
研究者は、この攻撃の背後にある脅威アクターはいわゆるWINDSHIFTAPTであると信じています.
初めに, これはややあいまいなサイバースパイアクターです, 非公開の政府で働く個人をターゲットにしている人. このあいまいな脅威アクターは、洗練されたフィッシングインフラストラクチャを運用しているようです, 電子メールやSMSメッセージを介してスピアフィッシング攻撃を実行することができます. これにより、攻撃は偵察フェーズ中にターゲットを継続的に追跡できます, 一方、グローバルおよびローカルのプラットフォームプロバイダーのなりすましを通じて、資格情報の収集段階でターゲットをだまします, 研究者は開示した.
さらに, WINDSHIFTAPTを他の同様の脅威グループと区別するものがいくつかあります. WINDSHIFTAPTの手口は非常に帰属が難しい. このグループがターゲットをマルウェアに関与させることはめったにありません, 研究者はごく少数の標的型攻撃を発見し、使用された特定のmacOSマルウェアを分析することができましたが. しかし、最も際立っているのは、攻撃者が独自のmacOS感染トリックを使用していることです。 システムのネイティブ機能を悪用する マルウェアをターゲットに自動的に拡散する.
冒頭で述べたように, このグループはリモートでインストールします macOSマルウェア SafariのカスタムURLハンドラーの助けを借りてターゲットシステムで.
さらに, 攻撃者は「許可しますか」macOSユーザーに馴染みのあるポップアップ. セキュリティ研究者のPatrickWardleが説明したように, 「「これらのドキュメントハンドラーは、AppStoreのリンクまたはPDFをクリックしたときに頻繁に使用されます。, MacAppStoreやプレビューなどの登録済みアプリでリンクまたはファイルを開く前にユーザーに許可を求める」.
研究者は、ユーザーの操作が必要な場合でも、それはかなり最小限であり、攻撃者によって操作される可能性があることを強調しました. この方法は、中東の政府の目標をすでにだましているため、成功していることが証明されています.
そんなことがあるものか? 研究者は 説明:
macOSの場合, アプリケーションはできます “宣伝する” 彼らがサポートできること (または「ハンドル」) さまざまなドキュメントタイプやカスタムURLスキーム. 考えてみて, アプリケーションとして, “ねえ、ユーザーがfooタイプのドキュメントまたはbarのスキームを使用したURLを開こうとすると、私はそれを取得しました!” あなたは確かにmacOSでこれに遭遇しました. たとえば、.pdfドキュメントをダブルクリックすると、Preview.appが起動してドキュメントを処理します. または、ブラウザでMacAppStoreにあるアプリケーションへのリンクをクリックします, そのリクエストを処理するためにAppStore.appが起動されます. 残念ながら、Appleが実装することを決定した方法 (具体的には, “登録”) ドキュメントハンドラーとカスタムURLスキーム, それらを虐待のために熟したままにします!
カスタムURLハンドラー, 同様にドキュメントハンドラー, 基本的に、アプリケーションが特定の種類のドキュメントを処理できることをOSに通知する方法です。. 例えば, VLCは、さまざまなビデオ形式を受け入れる機能を宣伝しています, 一方、プレビューはさまざまな種類のファイルに対して同じことを行います.
このmacOSエクスプロイトの簡単な説明は次のようになります:
最初のステップでは、マルウェアを悪意のあるサイトにアップロードする必要があります. ターゲットがこのWebサイトにアクセスしたとき (ほとんどの場合、スピアリングフィッシング攻撃によるものです), 悪意のある.zipファイルはmacOSによってダウンロードされます, その後、自動的に解凍されます. Appleは、安全と見なしたファイルを解凍することを許可していることに注意してください。, ユーザーがSafariブラウザを介してマルウェアインスタンスをダウンロードした場合は、マルウェアインスタンスを含みます. ファイルが解凍された後, マルウェアは、カスタムURLスキームハンドラーをファイルシステムに登録できます.
悪意のあるWebページのコードは、カスタムURLをロードできます, このようにして、macOSをトリガーしてインストールされたばかりのURLハンドラーを検索し、悪意のあるアプリを起動します. トリッキーな部分は、開発者がアプリケーションテキストを変更して誤解を招く可能性があることです. これは何を意味するのでしょうか? 「Safariがアプリケーションを開くことを許可しますか」, 「Safariがプレビューを開くことを許可しますか?」, 研究者は説明した.
Safariはユーザーに操作のキャンセルまたは実行を許可するように促しますが, 開発者は、アプリケーションのテキストを誤解を招くように設計されたものに変更できます. 言う代わりに “Safariが恐ろしいマルウェアアプリケーションを開くことを許可しますか?” それは言うことができます “Safariがプレビューを開くことを許可しますか?” 最後に、システムは、被害者のダウンロードフォルダにすでに存在するマルウェアを起動しようとします。.
WINDSHIFTAPTmacOSエクスプロイトを防ぐ方法
このエクスプロイトを防ぐ非常に簡単な方法が1つあります, 安全なファイルの自動解凍をオフにする必要があります. そうするために, 次の手順を実行します:
環境設定に移動, Safari>一般に移動します, 開くのチェックを外すだけです “安全” ダウンロード後のファイル.
Appleは、今後のアップデートでデフォルトでファイルが解凍されないようにすることを計画している可能性があると考えて間違いありません。.
その間, macOSがマルウェアに感染していると思われる場合, チェックを実行して、発見されたマルウェアを削除できます.