MacはOS X以前のシステムコールを利用するマルウェアに遭遇している

Malwarebytesは、バイオメディカル研究施設を標的とする「Fruitfly」と呼ばれるMacマルウェアの脅威を発見しました。しかし、Fruitflyは少なくとも2014年から存在していた可能性があり、OS XやmacOSよりも古いシステムコールにも依存しているため、新しいマルウェアと呼ぶのは適切ではないかもしれません。

Fruitfly（別名OSX.Backdoor.Quimitchin）は、被害者のMacからスクリーンショットとシステムの稼働時間を取得し、リモートサーバーにアップロードするほか、ウェブカメラへのアクセスも試みます。このマルウェアが古いコードに依存していることが、検知に時間がかかった要因と考えられます。

「2017年最初のMacマルウェアは、あるIT管理者が特定のMacから不審なネットワークトラフィックを発見したことで私の注意を引いたのです」と、Malwarebytesのトーマス・リード氏は述べています。「これがきっかけで、これまで見たことのないマルウェアが発見されました。このマルウェアは、実際にはかなり前から検知されずに存在していたようで、バイオメディカル研究センターを標的にしているようです。」

同氏によると、ファイルのタイムスタンプが2015年からであること（同氏はタイムスタンプが偽造される可能性があると指摘）と、コード内に2014年にリリースされたOS X Yosemite向けにアップデートされたことを示す記述があることから、マルウェアの寿命が長いと推定したという。

彼はこう付け加えた。

もちろん、もう一つの手がかりは、一部のコードの古さです。これは、このマルウェアが数十年前に遡ることを示唆する可能性があります。しかし、コードの古さをマルウェアの古さの指標として過度に重視すべきではありません。

ハッカーが攻撃を難読化するために古いシステムコールを使用していたか、新しいシステムコールが利用可能であることに気付かないほど Mac に精通していなかった可能性があります。

Fruitflyを誰が使っているのか、またどのようにして被害者のコンピュータにコードを送り込んでいるのかは不明です。ロシアと中国のハッカーが米国と欧州の生物医学研究に関心を示していることを考えると、彼らが関与していると推測するのは容易ですが、現時点でそれを裏付ける証拠はありません。

AppleはFruitflyの存在を認識しており、Macユーザーを保護するためにGatekeeperのアップデートを既にリリースしています。このアップデートは、インターネット接続時に自動的にユーザーに配信されるため、App Storeアプリでシステムアップデートを確認する必要はありません。