Macで「EXEファイル」を実行してアドウェアに感染させる攻撃に注意！ 「Little Snitch」「Sylenth1」などに偽装

　Mac上でWindowsの実行ファイルであるEXEファイルを実行して、最終的にアドウェアに感染させる手法が確認されたとして、トレンドマイクロが注意を呼び掛けている。

　トレンドマイクロによれば、この手法ではWindowsのアプリケーション実行環境「.NET Framework」を各種プラットフォームに提供するフレームワーク「Mono」を利用してEXEファイルを実行していたという。macOSに組み込まれたセキュリティ機構「Gatekeeper」は、Mac用のファイルのみを検査対象としているため、デジタル署名の確認を逃れることが可能になっていた。

　問題のファイルは、以下のファイル名で各Torrentサイトにホストされていた。

• Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
• Wondershare_Filmora_924_Patched_Mac_OSX_X.zip
• LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip
• Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip
• TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zip
• Little_Snitch_583_MAC_OS_X.zip

　今回解析した検体は、ZIPファイルに拡張子「DMG」のディスクイメージファイルが格納されており、Mac／Windows向けのファイアウォールアプリ「Little Snitch」に偽装したインストーラーが含まれていた。

Macアプリのインストーラーに含まれていた不審なEXEファイル

　DMGファイルは「~/Library/X2441139MAC/Temp/」ディレクトリに保存され、準備ができ次第マウントおよび実行するようになっている。

　このインストーラー内には、Mac用のソフトには通常含まれないEXEファイルのほか、Monoフレームワークのファイル自体が存在しており、MonoによってEXEファイルの実行が可能になっていた。

　同マルウェアは感染対象のシステム情報、例えばプロセッサの詳細情報やSMC（システム管理コントローラー）のバージョン、UUIDなどを含む情報を収集していた。また、AppStore.appやSafari.appなどの基本アプリを除き、「/Application」ディレクトリにインストールされたアプリの情報も収集する。これらの情報はC&Cサーバーに送信されていた。

アドウェアのインストール時には別のアプリの設定に関する文言も表示されていた

　Windowsで同検体を実行したところ、エラーメッセージが表示されたため、トレンドマイクロではMacユーザーを標的にした攻撃と推測している。同様の手法は今後も利用される恐れがあることから注意を促している。