【マルウェア】Macに蔓延するウイルス「UpdateAgent」の脅威

最新モデルではないもののフルスペックの「MacBook Pro」を使用しているのですが、最近何か背後にいるような違和感を覚えます。ですが、セキュリティソフトで完全スキャンしても何も検出されません。気の所為かなと思っていたらMicrosoft社が水曜日（2022年2月2日）にレポート「The evolution of a Mac trojan: UpdateAgent’s progression」（Mac用トロイの木馬：UpdateAgentの進行状況）でMacに蔓延するマルウェア「UpdateAgent」の脅威を発表しました。

The evolution of a Mac trojan: UpdateAgent’s progression - Microsoft Security Blog

Microsoft社のレポートの結論では現状「UpdateAgent」を検出できるのは「Microsoft Defender」だけと言いたいようで、「Microsoft Edge」や「Microsoft Defender SmartScreen」、さらには「Microsoft Defender for Endpoint」「Microsoft Defender Antivirus」を使用するしか一般人ができる対策はない印象になっていました。

不安を煽って自社商品を宣伝しただけにも見えますが、『The Hacker News』「New Variant of UpdateAgent Malware Infects Mac Computers with Adware」や『Ars Technica』「Mac malware spreading for ~14 months installs backdoor on infected systems」の記事でも他に対策が示されていないので今のところ本当に「Microsoft Defender」でしか防御できないのかもしれません。ライバル社の発表に対してApple社は対策を講じてくれているのでしょうか？

Mac malware spreading for ~14 months installs backdoor on infected systems

マルウェア「UpdateAgent」

Microsoft 365 Defender Threat Intelligence Teamが「UpdateAgent」と呼ぶMac用マルウェアは2020年9月に発見されました。「UpdateAgent」は1年以上にわたって拡散しており、開発者が新しい機能を追加するにつれてますます悪質になってきています。追加された機能には感染したMacに永続的なバックドアをインストールする攻撃的な第2段階のアドウェアペイロードのプッシュも含まれるとのことです。

「UpdateAgent」とその変異種

「UpdateAgent」ファミリー（「UpdateAgent」とそのバリアント）は比較的基本的な情報を盗むウイルスとして遅くとも2020年11月か12月にはエピデミックが始まったと見られます。このマルウェアは、製品名、バージョン番号、その他の基本的なシステム情報収集します。その持続性（Macが起動するたびに実行される機能）の手法も当初はかなり初歩的なものでした。

進化する「UpdateAgent」ファミリー

しかし、「UpdateAgent」は時間の経過とともにますます高度になっていったと言います。ハッカー（攻撃者）のサーバに送信されるデータの他に、アプリはマルウェアがまだ実行中かどうかをハッカー（攻撃者）に知らせる 「ハートビート」 も送信します。また、「Adload」というアドウェアもインストールされます。

Once adware is installed, it uses ad injection software and techniques to intercept a device’s online communications and redirect users’ traffic through the adware operators’ servers, injecting advertisements and promotions into webpages and search results. More specifically, Adload leverages a Person-in-The-Middle (PiTM) attack by installing a web proxy to hijack search engine results and inject advertisements into webpages, thereby siphoning ad revenue from official website holders to the adware operators.

Adload is also an unusually persistent strain of adware. It is capable of opening a backdoor to download and install other adware and payloads in addition to harvesting system information that is sent to the attackers’ C2 servers. Considering both UpdateAgent and Adload have the ability to install additional payloads, attackers can leverage either or both of these vectors to potentially deliver more dangerous threats to target systems in future campaigns.

「UpdateAgent」は現在、アドウェアをインストールする前にmacOSのセキュリティメカニズムである「Gatekeeper」がダウンロードされたファイルに付加するフラグを削除しています（「Gatekeeper」は新しいソフトウェアがインターネットからダウンロードされたことをユーザーに警告し、そのソフトウェアが既知のマルウェア系統と一致しないことを確認します）。この悪意のある機能は目新しいものではありませんが（2017年のMac用マルウェアにも存在）、「UpdateAgent」にも組み込まれたということは同様のマルウェアが定期的に開発されているのが窺い知れます。

「UpdateAgent」によるスパイはシステムプロファイルとSPHardwaretypeデータの収集に拡張され、特にMacのシリアル番号を明らかにします。また、以前のようにLaunchAgentフォルダーではなくLaunchDaemonフォルダーを変更するようになりました。これによってトロイの木馬はルートとして実行する永続的なコードを注入できるようになりました。

「UpdateAgent」の感染経路

Microsoft社のレポートによると、「UpdateAgent」は動画アプリやサポートエージェントなどの正規のソフトウェアを装い、ハッキングされたウェブサイト（あるいは悪意のあるウェブサイト）上の広告やポップアップを通じて伝播するとのことです。

そういえば記事の続きを読もうとして次のページをクリックすると広告が出て、広告を閉じてからでないと次のページを読めない仕様が増えましたね。というか私のMacが「UpdateAgent」に感染している所為でそういう症状が出ているのかもしれません。

「UpdateAgent」への対策

■Encourage the use of Microsoft EdgeMicrosoft Defender SmartScreen
■Restrict access to privileged resources, such as LaunchDaemons or LaunchAgents folders and sudoers files, through OSX enterprise management solutions. This helps to mitigate common persistence and privilege escalation techniques.
■Install apps from trusted sources only, such as a software platform’s official app store. Third-party sources may have lax standards for the applications that they host, allowing malicious actors to upload and distribute malware.
■Run the latest version of your operating systems and applications. Deploy the latest security updates as soon as they become available.

「アプリはソフトウェアプラットフォームの公式アプリストアなど信頼できるソースからのみインストールする」「オペレーティングシステムとアプリは最新版を実行する。最新のセキュリティアップデートが提供されたらすぐに導入する」は一般人でもできますが、当たり前でもあります。

結局、「UpdateAgent」に感染している場合は「Microsoft Defender Antivirus」で検出し、駆除するしか方法はないのでしょうか？そもそも「Microsoft Defender Antivirus」で駆除までできるのだろうか？

漸くオミクロン株の登場によって新型コロナウイルス感染症（COVID-19）のパンデミックが収束フェーズに入りつつあるというのに、コンピューターウイルス（コンピュータウイルス）にも新たな心配材料が存在したとは厄介です（辞書の表記が「コンピューターウイルス」で経済産業省の表記が「コンピュータウイルス」なのも厄介）。きっと、Apple社が次回のパッチで、あるいはウイルス対策ソフト（サイバーセキュリティソフトウェア）メーカーがアップデートで駆除してくれることでしょう（希望的観測）。それまでMacユーザーのみなさんはお気を付けください。