Microsoftは9月25日(米国時間)、「XCSSET evolves again: Analyzing the latest updates to XCSSET’s inventory|Microsoft Security Blog」において、Xcodeプロジェクトに感染する情報窃取マルウェア「XCSSET」の新しい亜種を発見したと報じた。

この亜種はAppleまたはmacOS関連アプリケーションの開発者間で感染拡大し、Webブラウザおよびウォレット情報を窃取するという。

  • XCSSET evolves again: Analyzing the latest updates to XCSSET’s inventory|Microsoft Security Blog

    XCSSET evolves again: Analyzing the latest updates to XCSSET’s inventory|Microsoft Security Blog

感染経路と機能

発見された亜種は、GitHubの一部リポジトリから配布されたとみられている。感染したリポジトリのビルドを実行すると、4段階の感染チェーンが開始され、最終的に複数のサブモジュールをダウンロードして実行するとされる。

Microsoft脅威インテリジェンスチームの分析により判明した各モジュールの機能は次のとおり。

  • クリップボードの監視とウォレットアドレスの差し替え
  • Webブラウザ内のウォレット情報の窃取
  • Firefoxを標的とする情報窃取
  • 永続性の確保

影響と対策

XcodeはAppleが提供するAppleプラットフォーム向けの開発環境。macOSやiOSアプリの開発に広く利用されており、感染した場合は関係者に拡散する可能性がある。Microsoftは限定的な攻撃が確認されていると明らかにし、感染拡大を阻止するためとして次の対策を実施するように推奨している。

  • GitHubなどのリポジトリからXcodeプロジェクトをダウンロードまたはクローンした場合は、その都度プロジェクトを検査する
  • クリップボードを介して機密情報をコピー&ペーストする場合は、ペースト時にデータが差し替えられていないか確認する
  • フィッシングサイト、詐欺サイト、マルウェア配布サイトなどをブロックできるWebブラウザ向けセキュリティソリューションを導入する
  • XCSSETを検出、停止、隔離できるセキュリティソリューションを導入する

Microsoftは攻撃の拡大阻止を目的に、GitHubと連携して感染リポジトリを削除したと発表した。しかしながら、新しい亜種の登場など、同様の攻撃が予想されることから、引き続き対策を継続することが推奨されている。また、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、セキュリティ対策に活用することが望まれている。