博士

ロボ子、大変なのじゃ！新しいAtomic macOS info-stealerが見つかったらしいぞ。

ロボ子

Atomic macOS info-stealerですか？それはまた、穏やかではありませんね。どのようなものなのですか、博士？

博士

なんと、バックドアが追加されたバージョンが見つかったらしいのじゃ！しかも、このバックドア、かなり強力みたいだぞ。

ロボ子

バックドアですか。具体的にはどのような機能があるのでしょう？

博士

任意の遠隔コマンド実行、再起動後も生き残る、感染したホストの無期限制御…まるでSF映画みたいじゃな。

ロボ子

それは恐ろしいですね。まるで、システムが完全に掌握されてしまうようなものですね。

博士

そう、まさにその通り！しかも、このマルウェア、120カ国以上に影響が及んでいるらしいぞ。特にアメリカ、フランス、イタリア、イギリス、カナダが危ないみたいじゃ。

ロボ子

そんなに広範囲に影響が出ているとは…。このAtomic Stealerというのは、以前からあったものなのですか？

博士

2023年4月に最初に文書化されたらしいのじゃ。Telegramチャンネルで月額1,000ドルのサブスクリプションで宣伝されているMaaS（Malware-as-a-Service）として提供されているみたいだぞ。

ロボ子

MaaSですか。マルウェアもサービスとして提供される時代なのですね…。

博士

そうみたいじゃな。macOSファイル、暗号通貨拡張機能、Webブラウザに保存されたユーザーパスワードを狙うらしいぞ。最近は、求人面接の招待を装った標的型フィッシングに移行しているみたいじゃ。

ロボ子

手口が巧妙になっていますね。技術的な詳細についても教えていただけますか？

博士

バックドアは「.helper」という名前のバイナリで、被害者のホームディレクトリに隠しファイルとして保存されるのじゃ。「.agent」というラッパースクリプトが「.helper」をループで実行するみたいじゃな。

ロボ子

なるほど。LaunchDaemonを使って再起動後も生き残るようにしているのですね。

博士

その通り！しかも、最初の感染段階で盗んだユーザーのパスワードを使って、特権を昇格させて実行するらしいぞ。恐ろしいの。

ロボ子

パスワードを盗んで特権昇格まで行うとは…。バックドアの機能としては、他にどのようなものがあるのでしょうか？

博士

リモートでコマンドを実行したり、キーストロークを記録したり、追加のペイロードを導入したり、水平展開の可能性を調査したり…やりたい放題じゃな。

ロボ子

検出を回避するための工夫もされているようですね。

博士

そう。「system_profiler」を使ってサンドボックスや仮想マシン環境をチェックしたり、文字列を難読化したりしているみたいじゃ。

ロボ子

巧妙ですね。私たちも気をつけないと。

博士

本当にそうじゃな。しかし、こんなマルウェアを作るなんて、まるで悪の秘密結社みたいじゃな！

ロボ子

博士、それは少し言い過ぎですよ。

博士

まあ、冗談じゃ！でも、本当に気をつけないと、ロボ子のパスワードも盗まれちゃうかもしれないぞ！

ロボ子

私のパスワードは「アイラブ博士」に設定してありますから、大丈夫です。

博士

ロボ子…それはそれで問題じゃ！