Xcodeプロジェクト経由で拡散するMac向けマルウェア「XCSSET」が登場

MacやiPhone向けのアプリケーションを開発するための総合開発環境であるXcodeで作成されたプロジェクトを対象としたマルウェアの存在が明らかになっています。

XCSSET Mac Malware: Infects Xcode Projects, Performs UXSS Attack on Safari, Other Browsers, Leverages Zero-day Exploits - TrendLabs Security Intelligence Blog
https://blog.trendmicro.com/trendlabs-security-intelligence/xcsset-mac-malware-infects-xcode-projects-performs-uxss-attack-on-safari-other-browsers-leverages-zero-day-exploits/

New Mac malware infects and spreads via Xcode projects | Appleinsider
https://appleinsider.com/articles/20/08/16/new-mac-malware-infects-and-spreads-via-xcode-projects

セキュリティ企業・トレンドマイクロの公式ブログであるTrendLabs Security Intelligence Blogが、Xcodeプロジェクトの間で感染が拡大している「XCSSET」というマルウェアの存在を明らかにしました。トレンドマイクロによると、XCSSETはXcodeに存在する2つのゼロデイエクスプロイトを活用しているそうで、非常に珍しいマルウェアであるとのことです。

Xcodeで発見されたゼロデイエクスプロイトは、1つがData Vaultの動作上の欠陥を用いてCookieを盗むというもので、もうひとつがSafariの開発バージョンを悪用するために使用されています。

今回発見されたXCSSETは、Macに感染した後、ローカルのXcodeプロジェクトに悪意のあるコードを挿入するというものです。これはXcodeを用いて開発を行うデベロッパーにリスクをもたらすもので、例えばGitHub上でプロジェクトを共有しているデベロッパーのプロジェクトなどで感染が確認されているとのこと。そのため、GitHubのリポジトリに依存した開発を行うデベロッパーの間で広く影響が出る可能性が指摘されています。

XCSSETがどのようにMacに侵入するのかは記事作成時点では詳細には判明していないとのこと。

XCSSETに感染したユーザーは資格情報やアカウント、その他の重要なデータを盗まれる可能性があります。感染するとXCSSETがどのような動作をするのかは、以下の通り。

・エクスプロイトを使用して、既存のSafariおよびその他のインストールされているブラウザを悪用し、ユーザーデータを盗み出す。例えば、脆弱性を利用してSafariのCookieを読み取りダンプしたり、Safariの開発バージョンを使用して、ユニバーサルクロスサイトスクリプティング(UXSS)攻撃を介し、JavaScriptのバックドアをウェブサイトに挿入したりする。
・ユーザーのEvernote、Notes、Skype、Telegram、QQ、WeChatアプリから情報を盗み出す。
・画面のスクリーンショットを撮影。
・感染したマシンから攻撃者の指定したサーバーにファイルをアップロード。
・サーバーから命令された場合、ファイルを暗号化し、身代金のメモを表示。

XCSSETはXcodeプロジェクト経由で感染を拡大していくため、すでに感染したデベロッパーが無意識にマルウェアを配布するという非常に特殊かつ巧妙なものとなっているとトレンドマイクロは説明しています。

なお、トレンドマイクロはXCSSETのようなマルウェアからシステムを保護するために必要なこととして、ユーザーが合法的なマーケットプレイス上からのみアプリをダウンロードすることを挙げています。加えて、トレンドマイクロのMaximum Internet Security Softwareのようなセキュリティソリューションを使用することを推奨しています。