クラック版macOSアプリに注意を DNS経由で暗号通貨を盗む方法

「ただより高いものはない」クラック版macOSアプリがDNSレコードから悪意のあるコードを取得して、仮想通貨を盗むケースが確認されています。

クラック版(海賊版)ゲームやアプリを使用したマルウェアの拡散は、昔から確認されているサイバー犯罪者の古い手口の1つです。信じられないかもしれませんが、ロビン・フッドの存在を信じ、海賊版Webサイトからクラック版ソフトウェアやゲームをダウンロードしても絶対に安全だと考えるような、騙されやすい人は2024年現在でも多くいます。脅威の種類自体は古いものです。しかしサイバー犯罪者は、被害者のコンピューターのセキュリティを回避してマルウェアを配信する新しい方法を次々と編み出しています。

当社は最近、新しいバージョンのmacOS(13.6以降)を実行しているAppleコンピューターを標的として、特定のドメインネームシステム(DNS)機能を利用して悪意のあるペイロードをダウンロードする新しいキャンペーンを発見しました。被害者は、クラック版のバージョンの人気アプリを無料ダウンロードするよう勧められます。その手に引っかかった被害者には何が待ち受けているのでしょうか?

アクティベーションの偽装

クラック版アプリが収録されているとされるディスクイメージをダウンロードすると、被害者はアプリケーションフォルダーに2つのファイルをコピーするよう要求されます。2つのファイルは、アプリそのものと、いわゆる「アクティベーター」です。アプリのみをコピーして起動しただけでは、アプリは実行されません。マニュアルによりますと、クラック版アプリを最初に「アクティベート」する必要があるということです。当社が分析したところ、アクティベーターは自体は高度な処理は何も行いません。単にアプリケーションの実行可能ファイルの先頭から数バイトを削除して、実行可能な状態にするだけです。言い換えれば、サイバー犯罪者は事前にクラックされたアプリを改変し、最初に「アクティベート」しない限り実行できないようにしているのです。お察しの通り、このアクティベーターにマルウェアが潜んでいます。実行時に管理者権限を要求し、それを使用してシステムにダウンローダースクリプトをインストールします。次に、このスクリプトはWebから追加のペイロードをダウンロードします。これは、マルウェア運用者からのコマンドを時々要求するバックドアです。

インストールマニュアル、アクティベーターのウィンドウ、管理者パスワードの入力ダイアログ

インストールマニュアル、アクティベーターのウィンドウ、管理者パスワードの入力ダイアログ

DNS経由のリンク

悪意のあるスクリプトをダウンロードするために、アクティベーターは、風変わりで一見無害に見えるツールを使用します。それが、ドメインネームシステム(DNS)です。DNSとセキュアDNSに関する記事を以前投稿しましたが、サービスの技術的な特徴については触れませんでした。各DNSレコードは、サーバーのインターネット名とIPアドレスをリンクするだけではありません。「TXTレコード」と呼ばれる、サーバーに関する自由形式のテキスト記述も含めることができます。悪意のあるアクターはこれを悪用し、TXTレコード内に悪意のあるコードの断片を埋め込みました。アクティベーターは、悪意のあるドメインに属する3つのTXTレコードをダウンロードし、そこからスクリプトを構築します。

一見複雑に見えますが、このセットアップには多くの利点があります。まず、アクティベーターは特に不審なことは何もしません。WebアプリケーションがDNSレコードをリクエストします。これが通信セッションの開始方法です。次に、悪意のあるアクターは、ドメインのTXTレコードを編集することによりスクリプトを容易に更新し、感染パターンや最終的なペイロードを変更できます。そして最後に、悪意のあるコンテンツをWeb上から削除することは、ドメインネームシステムが分散型であるという性質上、容易なことではありません。これらのTXTレコードは、それ自体では何の脅威ももたらさない悪意のあるコードの断片に過ぎません。そのため、インターネットサービスプロバイダーや企業にとっては、ポリシー違反を検知することさえ困難なのです。

ラスボス

定期的に実行されるダウンロードスクリプトにより、攻撃者は悪意のあるペイロードを更新し、被害者のコンピューター上で任意の動作を実行することができるようになります。当社が分析した時点では、攻撃者は暗号通貨を盗むことに関心を示していました。このバックドアは、Exodusや Bitcoinのウォレットがないか被害者のコンピューターを自動的にスキャンし、トロイの木馬化されたバージョンに置き換えます。感染したExodusウォレットはユーザーのシードフレーズを盗み、感染したBitcoinウォレットは秘密鍵の暗号化に使用する暗号鍵を盗みます。後者は、被害者に代わって攻撃者が送金時に署名を行うことを可能にします。これが、海賊版アプリで数十ドルを節約しようとして、それよりはるかに莫大な額の暗号通貨を結果的に失うことになる仕組みです。

仮想通貨ウォレットへの攻撃から身を守るには

目新しくはありませんが、依然として間違いない対策を述べます。このような脅威を回避し、被害に遭わないためには、公式マーケットプレイスからのみアプリをダウンロードするようにしてください。開発者のWebサイトからアプリをダウンロードする前に、それが正規のアプリであり、数多くあるフィッシングサイト由来のものではないことを確認してください。

クラック版のアプリをダウンロードしようと考えているなら、もう一度よく考えてみましょう。「誠実で信頼できる」海賊版サイトは、エルフやユニコーンと同じくらい稀です。

自分のコンピューターのリテラシー、注意深さ、細部に向ける注意力をどれほど高く見積もっているとしても、スマホ、タブレット、パソコンなどのすべてのデバイスで総合的なセキュリティ製品を使用するようにしましょう。カスペルスキー プレミアムは、複数のプラットフォームで利用可能な優れたソリューションです。基本的なセキュリティ機能、高度なセキュリティ機能がすべて有効化されているかチェックしましょう。暗号通貨を所有している場合は、上記に加えて、暗号通貨のhotcoldの両方を保護する詳細な手順に関する記事を一読することをお勧めします。

ヒント
新着記事をメールでお知らせします