単純な窃取を超えて、永続的バックドアまで機能を拡張
ストークスは詳細かつ高度に技術的なレポートの中で、SHubインフォスティーラーの脅威の背後にいる犯罪オペレーターが「資格情報やウォレットの単純な窃取を超えてマルウェアを拡張している」と警告している。今回のReaperマルウェアは、それを示す事例だ。
ストークスは「AMOSスタイルのファイルグラバー(ファイル収集機能)とチャンク化されたアップロード機能に加えて、この亜種は永続的なバックドアもインストールする」と述べている。このバックドアにより、ストークスは「犯罪オペレーターは最初の侵害後にデータを窃取したり、他の悪意あるインストールへ横展開したりするためのより多くの手段を得る」と分析している。
アップル・グーグル・マイクロソフトを偽装する手口
しかし最も大切なことは、SHub Reaperの攻撃者がどのようにこの感染チェーンを運用しているかをmacOSユーザーが認識することだ。彼らは同一の攻撃の複数の段階に、なじみのあるブランドを重ね合わせて使っている。
「偽のWeChatまたはMiroのインストーラー、マイクロソフトを装った偽ドメインからの配信、アップルのセキュリティアップデートを装った実行、そして偽のGoogle Software Updateのパスに隠された永続化メカニズム」が、すべて利用されているとストークスは確認している。
この攻撃手法は特に説得力を持つ。各段階の挙動が、アップル・グーグル・マイクロソフト製ソフトウェアの挙動を模倣しているからだ。これらは、多くのMacユーザーがすでに信頼し、日常的に目にしているものである。
SHub Reaperにパスワードを盗まれないための対策
SHub Reaperにパスワードやその他のデータを盗まれたくないなら、以下の対策が推奨される。
・信頼できないサイトからスクリプトやインストーラーを実行しない
・「セキュリティアップデートが必要なのでここをクリック」という餌に食いつかない
・訪問先サイトのURLが本物であり巧妙な偽物ではないことを確認する
・ソーシャルメディアやメールのリンクを経由するのではなくMac App Storeのみを利用する
