Appleデバイスの管理とセキュリティで知られるMosyle社は、新たなMacマルウェア「JSCoreRunner」を発見したと発表しました。このマルウェアは、fileripple[.]comという偽のPDF変換サイトを通じて拡散され、ユーザーを騙して無害に見えるツールをダウンロードさせるということです。
このマルウェアは、ウイルストータルでの検出を回避するゼロデイ脅威であるとされ、発見時には全く検出されていなかったとしています。これは、Mac管理者が新たな脅威に対して警戒を強め、積極的なセキュリティ対策を講じる必要があることを示しています。
Mosyle社の調査によると、「JSCoreRunner」は二段階のプロセスで動作します。最初の段階では、「FileRipple.pkg」というパッケージが無害なPDFツールを装い、偽のウェブビューを作成して正規のツールに見せかける一方で、バックグラウンドで悪意のある活動が静かに行われます。このパッケージは、開発者の署名がAppleによって取り消されたため、macOSでは起動時にブロックされます。
しかし、第二段階の「Safari14.1.2MojaveAuto.pkg」は署名されておらず、デフォルトではブロックされません。この第二段階のパッケージが、主な悪意のあるペイロードを実行するものです。
インストール後、「JSCoreRunner」はユーザーのChromeブラウザを標的にし、検索エンジンの設定を不正なプロバイダに変更します。これにより、キーロギングやフィッシングサイトへのリダイレクト、悪意のある検索結果の表示などが行われ、データや財産の盗難につながる可能性があります。
Mosyle社のセキュリティ調査チームは、この発見が新たな脅威に対抗するための継続的な監視と多層的なセキュリティアプローチの必要性を強調しているとしています。また、Mac管理者は、未確認のソースからダウンロードしたソフトウェアに注意するようユーザーに教育することも重要であるとしています。