Microsoftは2025年2月17日、macOSを標的とするマルウェア「XCSSET」の新しい亜種を発見したと発表した。この亜種は2022年以来、初めての大規模な更新となる。
主な特徴と影響
発見者:Microsoft Threat Intelligenceチームによって確認され、Microsoft Defender for Endpoint on Macで検出可能となっている。
攻撃手法の特徴
- 強化された難読化手法:複数の暗号化レイヤーを実装し、動的コード実行機能を追加
- 二重の永続化メカニズム:zshrcメソッドとdockメソッドによる巧妙な潜伏
- データ窃取機能:デジタルウォレット情報、各種アプリケーションデータ、システム情報の収集
from:Microsoft Uncovers New XCSSET macOS Malware Variant with Advanced Obfuscation Tactics
【編集部解説】
XCSSETマルウェアの新しい亜種の発見は、macOSのセキュリティ環境に重要な示唆を与えています。
この新しい亜種が特に注目される理由は、約2年間の沈黙期間を経て再び姿を現したことです。この期間中、攻撃者たちは明らかにマルウェアの機能を大幅に改良していました。
特に重要なのは、このマルウェアがソフトウェア開発者を標的としている点です。Xcodeプロジェクトを感染経路として使用することで、信頼されたアプリケーション開発環境を通じて拡散を図るという巧妙な手法を採用しています。
新しい亜種では、ペイロードの配置方法において「TARGET」「RULE」「FORCED_STRATEGY」という3つの選択肢を提供し、より柔軟な攻撃手法を実現しています。これにより、従来のセキュリティ対策をすり抜ける可能性が高まっています。
特筆すべきは永続化メカニズムの進化です。zshrcメソッドとdockメソッドという2つの手法を組み合わせることで、マルウェアの存在を隠蔽しながら、確実な実行を確保しています。
この進化したマルウェアが示唆するのは、macOSのセキュリティモデルにおける新たな課題です。特に開発環境を標的とする攻撃は、サプライチェーン全体に影響を及ぼす可能性があります。
開発者の皆様にとって重要なのは、オンラインリポジトリやコミュニティから入手するXcodeプロジェクトの信頼性を慎重に確認することです。信頼できる開発者から提供されたプロジェクトであっても、その開発者自身が感染に気付いていない可能性があります。
この事例は、アプリケーション開発のエコシステムにおけるセキュリティの重要性を改めて示しています。特にAppleのような厳格なセキュリティモデルを持つプラットフォームでさえも、開発ツールチェーンを通じた攻撃に対して脆弱性を持ち得ることを示唆しています。