Kaspersky社は、新しいM1チップを搭載したMac上で動作するマルウェアの新たなサンプルの発見を報告しているが、トレンドマイクロで遠隔操作サーバ(C&Cサーバ)からダウンロードされたバイナリファイルを確認したところ、x86_64アーキテクチャのみを含む3つのファイルを除くほぼすべてのファイルにx86_64およびARM64の両方のアーキテクチャが含まれていることを発見、XCSSETマルウェアは、M1チップへのサポートを追加する他、macOS 11 Big Surに適合させた別の不正活動も実行する。
macOS Big Sur 11以降のベータ6にはコード改変をより適切に検出する新しいセキュリティ要件が含まれ、実行が許可される前に署名が必要となったが、簡単なアドホック署名でよく、すべてのAppleScriptモジュールでは、openコマンドの代わりに、悪意のあるAppleScriptから作成された偽アプリを実行に新しいlaunchApp関数を使用し、偽アプリや不正ファイルにはcodesign –force –deep -s -コマンドを用いてアドホックコード署名を行う。その後マルウェアはC&Cサーバから事前にアドホック署名が施された独自のオープンツールをダウンロードする。トレンドマイクロでは興味深い点として、M1チップを搭載したMac上の偽アプリでは/usr/bin/openコマンドが問題なく実行されるにもかかわらず、独自のオープンツールを使用していることを挙げている。
![彷彿 Stuxnet/セキュリティ業界資金調達史上最高/サプライチェーン対処ベストプラクティス ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/34318.jpg)
