Apple製品を標的とした新しいアドウェアキャンペーンに関するレポートを、SentinelLabsが公開した。
□Massive New AdLoad Campaign Goes Entirely Undetected By Apple’s XProtect – SentinelLabs（英文）
https://labs.sentinelone.com/massive-new-adload-campaign-goes-entirely-undetected-by-apples-xprotect/

レポートでは、Appleのデバイスに内蔵されているマルウェアスキャナーでは検出できていない「AdLoad」の新しいサンプルが150種類以上確認されたと述べている。AdLoadは、「macOS」にアドウェアやバンドルウェアを組み込む「ローダー」の一種だ。同社は2019年にも、Appleが検出できていないAdLoadの亜種を発見したことがある。レポートによれば、サンプルの中にはAppleの公証を受けていたものもあったという。

AppleがMacに内蔵しているセキュリティシステムである「XProtect」は、Mac上に存在するマルウェアを検出するものだ。レポートによると、XProtectには2019年時点で、AdLoadをブロックするための仕組みが部分的に組み込まれていた。 AdLoadは少なくとも2017年から存在しているという。

現在のXProtectにはAdLoad用のシグネチャーが約11種類登録されており、その中にはSentinelLabsが2019年に発見したバージョンのAdLoadを検出するものもある。しかし、今回発見された新たなキャンペーンは、XProtectではまったく保護できていないという。

同社は約50種類のラベルパターンを発見しており、使用されているドロッパーがBundlore/Shlayerのドロッパーと同じパターンのものであることも明らかにした。

SentinelLabsは、Confiantのアナリストが発表した調査結果に触れ、出回っているサンプルの一部はAppleの公証を受けていると指摘している。
□New macOS Bundlore Loader Analysis | by taha karim | Confiant（英文）
https://blog.confiant.com/new-macos-bundlore-loader-analysis-ca16d19c058c

これらのサンプルは2020年11月頃から出回り始め、2021年に入ってからは特に目立つようになってきたという。また同社は、7月と8月始めにサンプルが大きく増えており、Confiantの研究者が2カ月前にAdLoadに関する調査レポートを発表したのを受けて、マルウェア開発者が、XProtectの穴が塞がれる前にそれを最大限に利用しようとしている可能性があると指摘した。

SentinelLabsによれば、XProtectが最後に更新されたのは6月15～18日だ。Appleはコメントの求めに応じていない。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
https://www.zdnet.com/article/researchers-discover-new-adload-malware-campaigns-against-macs-and-apple-products/

2021-08-16 13:40
ZDNet Japan
https://japan.zdnet.com/article/35175252/