Mac狙う新たなマルウェア「Cuckoo」発見、右クリックの「開く」に注意

画像提供：マイナビニュース

Apple専門のセキュリティ企業「Kandji」はこのほど、「Malware: Cuckoo Behaves Like Cross Between Infostealer and Spyware」において、Macデバイスを標的とする新しい情報窃取マルウェア「Cuckoo」を発見したと伝えた。

○情報窃取マルウェア「Cuckoo」とは

Kandjiによると、情報窃取マルウェア「Cuckoo」は、IntelおよびARMアーキテクチャに対応したMach-Oバイナリだという。ストリーミングサービスの音楽リッピングアプリとして配布されていることが確認されている。このマルウェアは他のマルウェアと同様に、右クリックの「開く」から実行することを求める特徴がある。

また、他の特徴として、次の言語(環境変数LANG)が設定されているデバイスを標的から除外することが判明している。

アルメニア(hy_AM)
ベラルーシ(be_BY)
カザフスタン(kk_KZ)
ロシア(ru_RU)
ウクライナ(uk_UA)

情報窃取マルウェアとしては、次の機能が確認されている。

永続性の確保
偽装元リッピングアプリを起動する機能
Safari、キーチェーン、メモのデータ窃取
Opera、Edge、Chrome、Firefox、Thunderbirdのデータ窃取
FileZilla、Steam、Discord、Telegramのデータ窃取
さまざまなウォレットのデータ窃取
zshの履歴(.zsh_history/zsh_history.txt)の窃取
${HOME}/.sshディレクトリーの窃取
スクリーンショットの窃取

○対策

Kandjiは、これまでの調査で、tunesolo[.]com、fonedog[.]com、tunesfun[.]com、tunefab[.]comからマルウェアが配布されていることを確認したとしており、これらWebサイトにはアクセスしないことが推奨されている。また、これら4件のWebサイト以外にもマルウェアの配布サイトが存在している可能性があるため、右クリックから「開く」を選択して実行することを求めるアプリには注意する必要がある。

Kandjiは、今回の調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
（後藤大地）