偽金融取引ソフトに注意 - macOSもターゲットに

株取引を行う正規ソフトを装い、侵入するmacOSを標的としたトロイの木馬が確認された。

Trend Microによると、株式や商品先物などの取引が行えるmacOS向けソフトウェア「Stockfolio」を偽装したマルウェアを2019年6月ごろより確認しているという。

「Stockfolio」そのものは、Mac App Storeで販売されている正規ソフトだが、同ソフトを装ったマルウェアで、同社ではすでに2種類の亜種を把握しているという。

亜種のひとつは、実行後に正規アプリと同様のユーザインターフェイスを画面上に表示しつつも、背後でアプリやドキュメントをはじめとするシステムの内部情報を収集。外部のコマンド＆コントロール（C＆C）サーバへ送信していた。

マルウェアの作成者が用意したコード署名が用意されていたほか、接続経路を隠ぺいするために、「TOR」を使用している可能性もある。

また6月に見つかった別の亜種は、感染後に特定のコマンド＆コントロール（C&C）サーバに接続し、シンプルなリバースシェルとして動作。外部からシェルコマンドによる遠隔操作が可能となっていた。いずれも再起動など行っても永続的に動作するようプログラムされていた。

Trend Microでは、Appleへマルウェアを報告しておりコード署名の取り消しが行われたという。同社では、アプリを入手する際には、よく知られていないサイトからの入手は控えるよう注意を呼びかけている。

（Security NEXT - 2019/11/20 ）ツイート