Macをターゲットにした「マクロウイルス」が登場、Wordの自動化マクロを用いて個人情報を盗む

By home thods

10年以上前に猛威を振るった「マクロウイルス」ですが、なんと2017年になってAppleのmacOSを狙ったマクロウイルスが発見されています。

New Attack, Old Tricks
https://objective-see.com/blog/blog_0x17.html

Mac malware discovered in Microsoft Word document with auto-running macro
http://appleinsider.com/articles/17/02/09/mac-malware-discovered-in-microsoft-word-document-with-auto-running-macro

Mac関連のセキュリティツールを開発する「Objective-See」が、「U.S. Allies and Rivals Digest Trump's Victory - Carnegie Endowment for International Peace」という名称のWordファイルが、自動的に動作するマクロを用いて悪意のあるデータをダウンロードしようとすることを発見しました。

ただし、Wordファイルを開く際にはマクロを有効あるいは無効にしてファイルを開くオプションや、開かないといったオプションもあり、「開かない」や「マクロを無効にする」といったオプションを選べばマルウェアに感染することはありません。

マクロを有効にしている状態でファイルを開くと、Pythonスクリプトが自動で実行され、特定のURLから2段階のペイロードをダウンロード。その後、ペイロードを解読して実行する前に、ネットワーク監視ツールであるLittle Snitchが実行されているかどうかを最初に確認するそうです。Pythonスクリプト自体はオープンソースのEmPyreプロジェクトのものがほとんどそのまま流用されているとのこと。

ただし、マクロを実行するとダウンロードしてしまうペイロードファイルには現在アクセス不可能となっているため、マクロを実行することでMacユーザーがどのような被害にあうことになっていたのかは不明でした。しかし、Objective-SeeはEmPyreプロジェクトのコードを分析することで、2段階のペイロードダウンロードでどのようなことが起こったのかを推察しています。

Objective-Seeによると、2段階のペイロードダウンロードによりMacは自動で再起動し、複数のEmPyreモジュールを実行しようとするとのこと。この「複数のEmPyreモジュール」には、攻撃者がMacから情報を盗むためのさまざまなオプションが盛り込まれており、キーロガーやキーチェーンダンプ、クリップボードの監視、スクリーンショットの撮影、iMessageへのアクセス、ウェブカメラへのアクセスなどが可能になるとみられます。

By Markus Petritz

ソフトウェア開発企業のSynackで働くセキュリティ研究家のパトリック・ウォードル氏は、「このマルウェアは特に最先端のものではない」とコメント。その理由は感染させるには「ユーザーがWordファイルを開き、なおかつマクロが使用可能になっている必要があるから」とのこと。

そもそもマクロを悪用したウイルス「マクロウイルス」自体が比較的古い攻撃手法で、過去にはこういった手法が流行したこともあります。その代表例としては「Melissa」などがありますが、これは1999年に流行したウイルスです。しかし、こういったマクロウイルスがこれまで標的にしてきたのはMacではなくWindowsであったので、その点ではある意味新しいマルウェアと言えるのかもしれません。

なお、マルウェア入りのWordファイルは「MacDownloader」というイランのハッカーが作成したと思われるマルウェアと同時期にみられるようになったそうです。この「MacDownloader」はアメリカの防衛産業や人権擁護派メンバーを攻撃するために作成されたもので、偽の航空宇宙ウェブサイトに表示される偽のFlashアップデートから感染するというもの。ただし、マルウェア入りのWordファイルがMacDownloaderの製作者と同じイラン人ハッカーにより作られたかどうかは不明です。