サイバーセキュリティ企業のJamfは、MacSync Stealerの新しい変種がAppleのマルウェア保護を回避する手法を用いていると発表しました。このマルウェアは、Appleによって署名および公証されたSwiftアプリを利用し、リモートサーバーからエンコードされたスクリプトを取得して実行するということです。
Appleのマルウェア保護は、マルウェアのインストールを防ぐためにmacOSに組み込まれていますが、最近ではこの保護を回避する手法が増加しているとされています。Jamfによると、MacSync Stealerは、主にメモリ上で動作し、ディスク上にはほとんど痕跡を残さないという特徴があります。
このような手法の変化は、macOSのマルウェア全体の傾向を反映しており、攻撃者は署名および公証された実行可能ファイルにマルウェアを潜ませることで、正規のアプリケーションに見せかけることを試みているとしています。
また、Jamfはこの開発者IDをAppleに報告し、Appleは証明書を取り消したとしています。
Macのマルウェアから身を守るためには、Mac App Storeや信頼できる開発者のウェブサイトからのみアプリをインストールすることが最善の対策とされています。