macOSをターゲットとしたマルウェア「XCSSET」が進化を続けている。2020年に発見されたXCSSETはXcodeプロジェクトに潜伏して感染を広めるタイプのマルウェアだが、macOS 11 Big SurやM1 Macなどの新しい環境にも迅速に対応するなど、アップデートの速度もこのマルウェアの危険性を高める要因となっている。

トレンドマイクロはXCSSETが発見されて以来その動向を監視し、情報の発信を行ってきた。7月22日に公開された記事「Updated XCSSET Malware Targets Telegram, Other Apps」では、XCSSETが実際にさまざまなアプリから情報を盗むメカニズムを詳しく解説している。

  • Updated XCSSET Malware Targets Telegram、Other Apps

    Updated XCSSET Malware Targets Telegram, Other Apps

トレンドマイクロによれば、XCSSETがさまざまなアプリからデータを収集してコマンド&コントロール(C&C)サーバに送信することは初期の段階から分かっていたものの、攻撃者がそれらのデータをどのように使用するのかは明らかになっていなかったという。最近の分析で、データを盗むために使用されるメカニズムが判明し、盗まれる情報にはさまざまな目的に利用可能な機密性の高い性質のものも含まれていることが分かったとしている。

XCSSETの基本的な戦術は、さまざまなアプリケーションのサンドボックスディレクトリに保存されているプライバシーデータを盗み出すことだという。例として紹介されているのは、メッセンジャーアプリの「Telegram」をターゲットとした悪意あるAppleScriptファイル「telegram.applescript」だ。XCSSETに含まれるこのスクリプトは、Telegramのデータが保管されている「~/Library/Group Containers/6N38VWS5BX.ru.keepcoder.Telegram」フォルダをZIP圧縮してC&Cサーバにアップロードする。

macOSでは、一般ユーザーの権限でアプリケーション用のサンドボックスディレクトリ「~/Library/Containers/com.xxx.xxx」および「~/Library/Group Containers/com.xxx.xxx」にアクセスできる。そのため、もしこれらのディレクトリにログイン情報などの機密データが保管されている場合は、マルウェアは簡単にそれを盗むことができるというわけだ。

もうひとつの例として紹介されているのは「Chrome」からユーザーが保存したパスワードを含むデータを盗むメカニズムである。XCSSETがこのデータを盗み出すには、root権限で特定のコマンドを実行する必要がある。そこでXCSSETでは、root権限を必要とするすべての操作を1つの関数にまとめた上で、偽のダイアログボックスを使用してユーザーがこれらの特権を付与するように誘導するという。ユーザーが気づかずに実行権限を付与すると、機密データは復号されてC&Cサーバに送られてしまう。「連絡先」や「Evernote」「Notes」「Opera」「Skype」「WeChat」などに対してもアプリケーションでも同様のメカニズムが使用されていることが確認されているという。

そのほか、トレンドマイクロは追加されたC&Cドメインなど、XCSSETに最近加えられた変更点を紹介している。これらの変更は、根本的な動作原理こそ変わっていないが、重要なデータを積極的に盗むために日々戦術が改良されていることを示唆しているという。同社では、これらの脅威からシステムを守るために、ユーザーが公式サイトや合法的なマーケットからのみアプリをダウンロードすることを推奨している。