Macユーザーをターゲットにしたランサムウェア「EvilQuest」が発見される、身代金支払後もターゲットを逃がさない凶悪さ
macOSがインストールされたMacを対象とした新しいマルウェア「EvilQuest」が2020年6月30日に発見されました。「EvilQuest」と呼ばれるこのマルウェアは、Macのデータを暗号化して復号キーと引き替えに金銭の支払いを要求するランサムウェアとしての機能だけでなく、入力を監視するキーロガーの機能なども備えているため、仮に被害者が身代金を支払っても攻撃者から監視され続ける危険性があると指摘されています。
New Mac ransomware spreading through piracy - Malwarebytes Labs | Malwarebytes Labs
https://blog.malwarebytes.com/mac/2020/06/new-mac-ransomware-spreading-through-piracy/
Objective-See's Blog
https://objective-see.com/blog/blog_0x59.html
New EvilQuest ransomware discovered targeting macOS users | ZDNet
https://www.zdnet.com/article/new-evilquest-ransomware-discovered-targeting-macos-users/
「EvilQuest」を最初に特定したのは、セキュリティ研究者のDinesh Devadoss氏です。同氏は2020年6月30日にTwitterで、「検出されたことのない、Google ChromeのソフトウェアアップデートプログラムになりすましたmacOSをターゲットとするランサムウェアを発見しました」と投稿し、macOSを対象としたランサムウェアの発見を報告しました。
#macOS #ransomware impersonating as Google Software Update program with zero detection.
— Dinesh_Devadoss (@dineshdina04) June 29, 2020
MD5:
522962021E383C44AFBD0BC788CF6DA3 6D1A07F57DA74F474B050228C6422790 98638D7CD7FE750B6EAB5B46FF102ABD@philofishal @patrickwardle @thomasareed pic.twitter.com/r5tkmfzmFT
Devadoss氏の報告を受け、セキュリティ企業Malwarebytesのトーマス・リード氏がEvilQuestの調査を行いました。リード氏は「macOS向けのネットワーク監視ソフト『Little Snitch』の海賊版のインストーラーにも、EvilQuestが紛れ込んでいることが分かりました」とMalwarebytesの公式ブログ内で報告しています。
また、macOSを専門とするセキュリティ企業Objective-Seeのパトリック・ウォードル氏により、DJ向け音楽制作ソフト「Mixed In Key」の海賊版にも、EvilQuestが混入されていることが突き止められました。
ウォードル氏はさらに、EvilQuestのコードを解析した結果からEvilQuestには「キーロガー機能」や、被害者から攻撃者への通信を確立するリバースシェルを介して「暗号通貨に関するデータを盗む機能」も搭載していることを突き止めました。
このことから、アメリカのIT系ニュースサイトZDNetは、「仮に被害者が身代金を支払ったとしても、攻撃者は被害者のPCにアクセスしてファイルやPCへの入力を盗み続けることができます」と述べました。
リード氏によると海賊版Little Snitchのインストーラーに紛れ込んだEvilQuestには、マルウェア自身をインストールする能力はあるものの、海賊版Little Snitchをインストールするプロセスは正常に動かず、インストーラーが途中で停止してしまうそうです。
また、EvilQuest発見の発端となったChromeのアップデートプログラムには、ファイルが変更されていることを感知して正常なファイルに置き換える機能があるため、Chromeを介した感染も確認できなかったとのことです。
リード氏が、意図的にEvilQuestに感染させたMacの時間を感染から3日後に設定したところ、端末内のファイルが暗号化され、身代金50ドル(約5300円)を要求するメッセージが表示されました。感染から3日後に暗号化が開始されるのは、感染経路を隠す意図があるからではないかと推測されています。
by Malwarebytes Labs
こうした解析結果からリード氏は、「このマルウェアに感染した場合は、できるだけ早くMacから除去する必要があります。また、ランサムウェアの影響を回避する最良の方法は、バックアップを用意しておくことです。特に重要なデータは2つバックアップを取り、そのうち1つはMacに接続したままにしないようにしてください。適切なバックアップがあれば、ランサムウェアは脅威になりません」と述べました。
Devadoss氏が指摘したように、6月30日の時点では、主要な60以上のアンチウイルスエンジンを使ってマルウェアの検出を行えるサービスVirusTotalで検索しても、EvilQuestを検出することができるアンチウイルスソフトはありませんでした。一方、Objective-SeeがリリースしているBlockBlockやRansomWhereなら検知が可能とのこと。また、MalwarebytesがリリースしているMalwarebytes for Macも、既にEvilQuestを検知できるようアップデートされているとのことです。
Malwarebytes for Mac — Mac Antivirus Replacement | Malwarebytes
https://www.malwarebytes.com/mac/
・関連記事
Macユーザーを標的にしたマルウェアがダークウェブに出回っている - GIGAZINE
MacのOS Xに初のデータ暗号化で身代金を要求するランサムウェアが登場 - GIGAZINE
Macデバイスを狙ったマルウェアの検出率が大幅に増加していることが判明 - GIGAZINE
数百台のMacに感染しているのに数年間気づかれなかったマルウェア「FruitFly」 - GIGAZINE
macOSへのフィッシング詐欺が2019年前半だけで593万件を突破、前年比2倍超の勢いで激増中 - GIGAZINE
macOSのマルウェア対策機能をバイパスしたゼロデイ攻撃が「テスト中」であることをセキュリティ研究者が報告 - GIGAZINE
・関連コンテンツ