is702
ニュース

MacでWindows向けEXEファイルを実行し、セキュリティを回避する攻撃が出現

2019/02/15

トレンドマイクロは2月14日、公式ブログで「MacでEXEファイルを実行する攻撃を確認、端末情報を窃取しアドウェアをダウンロード」と題する記事を公開しました。

それによると、Macを狙う攻撃において、Windowsで利用されている実行ファイル形式である「EXEファイル」を悪用するマルウェアが確認されたとのことです。今回同社が解析した検体は、MacおよびWindows向けのファイアウォールアプリ「Little Snitch」に偽装していました。

このマルウェアは、Windowsアプリの実行環境「.NET Framework」をさまざまなプラットフォームに提供するフレームワーク「Mono」を利用して、Mac上でEXEファイルを実行していました。Macには、システム自体にセキュリティの仕組みが組み込まれていますが、Mac用ファイルのみを対象としているため、これを回避するのが狙いと推測されます。

偽装アプリのインストーラを実行すると、メインファイルが問題のEXEファイルを起動します。インストーラに含まれているMonoフレームワークによって、このEXEファイルの実行が可能になっています。基本的にはEXE形式のマルウェアは、macOSやLinux等、他のOSに感染することはありませんが、このマルウェアはMacで正常に動作し、さまざまなシステム情報を収集し、攻撃を指示するコマンド&コントロール(C&C)サーバに送信します。さらにアドウェアをダウンロードして実行します。なお、Windowsで検体を実行したところ、エラーメッセージが表示され、正常に動作しませんでした。

Windows以外のプラットフォームでEXEファイルを実行するこの手法は、macOSのような非Windowsシステムに対して、大きな影響を与えるかもしれません。トレンドマイクロでは、今後も調査を継続するとしています。ユーザは、信頼できる経路やWebサイトからのみファイルやソフトウェアをダウンロードすること、多層的なセキュリティ対策製品を導入することを心掛けてください。

  • あんしんプラスシリーズ
  • 標的型メール訓練サービス メル訓クラウド
  • IT資産管理・情報漏えい対策ツール LanScope Cat for Cloud
あんしんプラスシリーズ
標的型メール訓練サービス メル訓クラウド
IT資産管理・情報漏えい対策ツール LanScope Cat for Cloud