サイバーセキュリティ企業SentinelOneの最新レポートは、XLOADERマルウェアの進化を示しています。この情報窃取型マルウェアは2015年からmacOSを標的としていましたが、最近アップデートされました。現在ではOfficeアプリケーションを装い、ユーザーのマシンに感染し、クリップボードやブラウザから情報を盗むことができます。
ジャンプ先:
- XLoader とは何ですか? また、どのように更新されましたか?
- XLoaderの実行と機能
- XLoader はどのように配布されますか?
- XLoaderマルウェアの脅威からビジネスを守る方法
XLoader とは何ですか? また、どのように更新されましたか?
XLoaderは、2021年にSentinelOneによって初めて報告された、情報窃取およびキーロガーのマルウェア・アズ・ア・サービスです。ただし、このマルウェアは、2015年から2021年まで活動していた情報窃取マルウェアおよびキーロガーであるFormbookのソースコードから開発されました。FormbookはMicrosoft Windowsオペレーティングシステムのみを標的としていましたが、XLOADERはWindowsとmacOSを標的にし始めました。
XLoaderの初期バージョンは、正常に動作するためにJava Runtime Environment(JRE)を必要としていました。Appleが数年前にmacOSへのJREの配布を停止したため、他のマルウェアほど効果は薄れていますが、多くのmacOSユーザーは依然として様々な目的でJREを必要としており、システムにインストールしています。
SentinelOneの研究者Dinesh Devadoss氏とPhil Stokes氏は、XLoaderがJavaへの依存を解消した新たな形で復活したと報告しています。新しいコードはC言語とObjective C言語で記述されており、「Mait Jakhu」氏によるApple開発者署名が付与されています(図A)。
図A
署名日は2023年7月17日ですが、Appleによって既に失効しています。つまり、ユーザーがMacでこのファイルを実行しようとすると、オペレーティングシステムが警告を表示し(図B)、実行されません。
図B
XLoaderの実行と機能
XLoaderマルウェアは、WindowsとMacの多くのブラウザからパスワードを盗む能力を備えていますが、Mac版はGoogle ChromeとMozilla Firefoxからのパスワードの盗用と、コンピュータのクリップボードからのコンテンツの盗用に限定されています。アンチデバッグ機能を備えており、スリープコマンドを使用することで、自動化されたセキュリティソリューションによる解析を回避しようとします。
XLoader が起動されると、ソフトウェアが動作しないことを示すエラーが表示され、同時にペイロードが静かにドロップされ、バックグラウンドで永続性がインストールされます。
マルウェアはユーザーのホームディレクトリに隠しフォルダを作成し、その中に実行ファイルを作成します。フォルダ名とアプリケーション名はランダムな名前が付けられます。また、LaunchAgentも同じフォルダにドロップされ、永続化に使用されます。
次に、XLoader は、マルウェアとは無関係の約 200 台のサーバーにダミーのネットワーク呼び出しを送信して、実際のコマンド アンド コントロール サーバーを偽装しようとします。
XLoader はどのように配布されますか?
SentinelOne によって発見されたマルウェアサンプルは OfficeNote.app という名前で、Microsoft Word を装ったアイコンを表示することで Office アプリケーションを装います。XLodaer は、OfficeNote.dmg という標準的な Apple ディスクイメージとして配布されます。
研究者らは、2023年7月を通して、VirusTotalプラットフォーム(提出されたファイルに対して複数のウイルス対策エンジンを実行するための専用システム)に、新しいXLOADERマルウェアサンプルの複数の提出が出現したことを指摘しました。これは、このマルウェアが広く流通していることを示しています。
新しい XLoader は、サイバー犯罪者の地下フォーラムで、Mac 版が月額 199 ドルまたは四半期あたり 299 ドルで宣伝されていますが、Windows 版は月額 59 ドルまたは四半期あたり 129 ドルとさらに安価です。
XLoader の顧客がアクセスできるダッシュボードは、サイバー犯罪者にその機能と使いやすさについての洞察を提供するために、地下フォーラムでスクリーンショットとして表示されます。
この XLoader マルウェアの脅威からビジネスをどのように保護できるでしょうか?
Appleディスクイメージがユーザーに配信される方法は不明ですが、最も一般的な方法は、メールキャンペーン、信頼できない場所からの直接ダウンロード、ソーシャルメディアプラットフォーム、インスタントメッセージング経由です。このXLOADERマルウェアの脅威からビジネスを守るために、以下の対策を強くお勧めします。
- すべての添付ファイルとファイルをダウンロードするためのリンクを分析するセキュリティ ソリューションを使用して電子メールを監視します。
- 突然大量の DNS 解決要求を送信し、数秒以内に多くの異なるホストまたは IP アドレスとの通信を開始するエンドポイントまたはサーバーのネットワーク ログを監視します。
- すべてのエンドポイントとサーバー上でセキュリティ ソフトウェアを実行し、XLaoder などのマルウェアを防止および検出します。
- 信頼できないアプリケーション ストアまたはサーバーから提供されたアプリケーションをユーザーがダウンロードして実行することを禁止します。
- 一般的な脆弱性による侵害を回避するために、すべてのオペレーティング システム (特に macOS) を最新バージョンに更新し、パッチを適用しておきます。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
