Mac上でWindowsの実行ファイルであるEXEファイルを実行して、最終的にアドウェアに感染させる手法が確認されたとして、トレンドマイクロが注意を呼び掛けている。

トレンドマイクロによれば、この手法ではWindowsのアプリケーション実行環境「.NET Framework」を各種プラットフォームに提供するフレームワーク「Mono」を利用してEXEファイルを実行していたという。macOSに組み込まれたセキュリティ機構「Gatekeeper」は、Mac用のファイルのみを検査対象としているため、デジタル署名の確認を逃れることが可能になっていた。

問題のファイルは、以下のファイル名で各Torrentサイトにホストされていた。

Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip

Wondershare_Filmora_924_Patched_Mac_OSX_X.zip

LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip

Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip

TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zip

Little_Snitch_583_MAC_OS_X.zip

今回解析した検体は、ZIPファイルに拡張子「DMG」のディスクイメージファイルが格納されており、Mac／Windows向けのファイアウォールアプリ「Little Snitch」に偽装したインストーラーが含まれていた。

DMGファイルは「~/Library/X2441139MAC/Temp/」ディレクトリに保存され、準備ができ次第マウントおよび実行するようになっている。

このインストーラー内には、Mac用のソフトには通常含まれないEXEファイルのほか、Monoフレームワークのファイル自体が存在しており、MonoによってEXEファイルの実行が可能になっていた。

同マルウェアは感染対象のシステム情報、例えばプロセッサの詳細情報やSMC（システム管理コントローラー）のバージョン、UUIDなどを含む情報を収集していた。また、AppStore.appやSafari.appなどの基本アプリを除き、「/Application」ディレクトリにインストールされたアプリの情報も収集する。これらの情報はC&Cサーバーに送信されていた。

Windowsで同検体を実行したところ、エラーメッセージが表示されたため、トレンドマイクロではMacユーザーを標的にした攻撃と推測している。同様の手法は今後も利用される恐れがあることから注意を促している。