Microsoft Threat Intelligenceは、macOSを標的とする新たなマルウェア「XCSSET」の亜種を発見した。このマルウェアは暗号通貨ウォレットを標的とし、Appleの「メモ」アプリ内データの窃取や難読化技術を用いた検出回避機能を備えている。特にXcodeプロジェクトを感染経路とし、開発者環境を通じて拡散する仕組みが確認された。
XCSSETはDockからLaunchpadが起動されるたびに再展開される永続性を持ち、暗号化機能を活用したランサムウェア攻撃にも悪用される可能性が指摘されている。現時点では限定的な攻撃にとどまっているが、今後の被害拡大を防ぐため、開発者はXcodeプロジェクトの入手先を慎重に確認し、信頼できるソースからのアプリインストールを徹底することが求められる。
XCSSET新亜種の拡張機能と標的範囲の広がり
XCSSETの新亜種は、単なる暗号通貨ウォレットの窃取にとどまらず、Appleの「メモ」アプリ内のデータも標的としている。この機能強化は、機密情報の収集範囲が拡大していることを示し、個人データや業務関連情報の漏洩リスクを高めている。加えて、スクリーンショット撮影やキーロギング機能が強化され、ユーザーの操作履歴を詳細に追跡することが可能になった。
特筆すべきは、難読化(オブフスケーション)技術の進化である。マルウェアは検出を回避するためにコードを複雑化し、セキュリティソフトウェアによる発見を困難にしている。さらに、Appleのセキュリティ機能をかいくぐるため、XCSSETはmacOSのシステムプロセスに偽装して動作することが確認されている。
このような機能強化により、従来は開発者環境に限られていた標的範囲が、一般のmacOSユーザーや企業のITインフラにも広がる懸念がある。特に企業内で使用される開発環境やリモートワーク用端末が感染すれば、社内ネットワーク全体への影響も無視できない。
Xcodeプロジェクトを通じた感染経路と対策の重要性
XCSSETの主な感染経路は、感染済みのXcodeプロジェクトを通じて拡散することにある。XcodeはmacOSアプリの開発環境として広く使用されるが、特にオープンソースのリポジトリからプロジェクトをクローンする際にリスクが高まる。悪意あるコードがプロジェクト内に埋め込まれ、ビルド時に自動実行される仕組みが確認されている。
このマルウェアは、プロジェクトを開いた開発者の環境を汚染し、暗号通貨ウォレットの情報だけでなく、ブラウザ経由で入力される金融情報やパスワードを窃取する可能性がある。特にビットコインやイーサリアムのアドレスを自動で書き換える機能は、送金詐欺の危険性を高めている。
対策として、Xcodeプロジェクトを外部から取得する場合は、信頼できるリポジトリや公式の配布元を利用し、ダウンロード後はコードを詳細に確認することが求められる。また、Microsoft Defender for Endpoint on Macなどの最新のセキュリティソフトを導入し、リアルタイムでマルウェアの動作を監視することが推奨される。
ランサムウェアへの発展と国際的な対策強化
XCSSET新亜種は、単なる情報窃取型マルウェアからランサムウェアとしての脅威も強めている。データ暗号化機能が組み込まれ、感染したデバイス上のファイルをロックし、解除のために身代金を要求する手口が確認されている。特に、Launchpadを通じた永続的な再展開機能により、再起動後も攻撃が継続するリスクがある。
この脅威に対し、各国政府も対策を強化している。米国、英国、オーストラリアの政府機関は、ランサムウェアの拠点とされるロシアのホスティングプロバイダーZserversに制裁を課し、関連する6人の従業員を特別指定国民(SDN)リストに追加した。これにより、Zserversは米国企業との取引が禁止され、資産も凍結される。
今後もマルウェアの進化は続くと予想されるため、macOSユーザーはセキュリティ対策を強化するとともに、暗号通貨ウォレットの保護に特化したツールの導入を検討することが不可欠である。企業においても、リモートワーク環境のセキュリティ監視を強化し、感染拡大を未然に防ぐ体制構築が求められる。
Source:Decrypt