「間抜けな」MacOSマルウェア:仮想通貨について議論するSlackやDiscordのユーザーを攻撃

 セキュリティー研究家たちが、スラック(Slack)やディスコード(Discord)で仮想通貨について議論しているユーザーを狙った、MacOSマルウエア攻撃を発見した。SCメディアUKが7月2日に伝えた

 ネットワークセキュリティー企業ダッチセック社の創業者、レムコ・フェルーエフ氏が、情報セキュリティー及びサイバーセキュリティー訓練機関のサンズ・インスティチュート向けに書いた6月30日付けのブログ記事で、このマルウエアについて投稿した。

 フェルーエフ氏によれば、この攻撃は仮想通貨関連のチャットで管理者や「重要人物」になりすまし、悪意のあるバイナリーデータをダウンロードして実行する「短いコード」を共有するという。SCメディアUKは、このマルウエアはユーザーのパスワードを盗み、それをローカルマシンに保存することもできると指摘する。フェルーエフ氏はそのローカルマシンが、ドイツのプロバイダー「クラウンクラウド」の所有するサーバーであり、どうやらオランダに置かれているらしいことを突き止めている。

 デジタルセキュリティー社のパトリック・ウォードル氏は6月29日、マックを狙ったこのマルウエア攻撃に関する記事を、オブジェクティブ・シーに投稿した。記事には、「どうやら攻撃者は、ユーザー自身にかなり巨大なmach-Oバイナリーに感染するよう、求めているようだ」と書かれている。

 ウォードル氏はこのマルウエアを「OSX.Dummy(間抜け)」と名付け、自身のブログ記事を締めくくっている。その名前の由来となったさまざまな理由を、同氏は次のような箇条書きで紹介している。

  • 感染手法が間抜け
  • バイナリのサイズが巨大で間抜け
  • 永続性の仕組みが時代遅れ(だから間抜けでもある)
  • 能力がかなり限定的(だからかなり間抜け)
  • 各ステップにみつかる平凡さ(間抜けさ)
  • ...最後に、このマルウエアはユーザーのパスワードをdumpdummyと保存する

 パロアルトネットワークスのユニット42で脅威インテリジェンスアナリストを務めるアレックス・ヒンチリッフェ氏によれば、このような攻撃は「時と共に改善され」、他要素認証を使って組織のチャットルームに参加するようになるだろうという。