Macユーザ要注意!マルウェア検出エンジンで見つからない”トロイの木馬”OSX/Dokが登場

投稿日 2017-04-29
著者 xiaolong
カテゴリー Apple関連ニュース
カテゴリー Mac/MacBook/iMac/Mac Pro/Mac Studio/Mac mini
カテゴリーセキュリティ

macOSシステムを対象とする悪意のあるソフトウェアは、昨年に比べて744％も増えている。そしてそのうちの大部分は広告やメールに紛れて入ってくるという。そして昨日、イスラエルの企業のセキュリティチームが、「深刻」レベルの新しいMac用の悪意のあるソフトウェアを発見し公表した。このマルウェアに感染すると、ユーザのhttpsトラフィックを監視されるようになり、更に端末が中継者攻撃(MiTM)の踏み台になってしまう。

マルウェア対策ソフトの検出エンジンで検出できない

イスラエルのセキュリティ企業、Check Point Software Technologies Ltd.のセキュリティチームがこの新しいMac用の悪意のあるソフトウェアを発見した。しかもこのマルウェアは大多数のマルウェア対策ソフト（ウイルスチェックソフト）の検出を免れてしまうという（現在のところ発見できる検出エンジンがない）。

マルウェア（トロイの木馬）の名前は「Trojan.OSX.DOK（OSX/Dok）」

ユーザはニセのOS X（或いはmacOS Sierra）のアップデート通知を出すまでは、このソフトウェアは一切何もしない。このマルウェアの名前は「Trojan.OSX.DOK（以下OSX/Dok）」と名付けられている、いわゆる”トロイの木馬”だ。

Macへのマルウェア「OSX/Dok」感染経路とマルウェアの動き

最初この「OSX/Dok」は主にフィッシングによって攻撃を開始する。ユーザはまず「税務署から来た」というメールに添付された圧縮ファイルのZipファイルを開くことで感染する。

▼税務署からのメール、ドイツ語と英語があるらしい。日本語はないから日本人は安心といえば安心だが英語圏やドイツ語圏の海外にいる人などは要注意。

▼そのZipファイルはうまく開けず、失敗で終わる。という風に見せかけて既にマルウェアはインストールされている。この辺もうまい。

▼実際のマルウェアのインストールの動き。まず開発者名”Seven Muller”という名前で署名された”Truesteer.AppStore”が実行され、まずはダウンロードフォルダにDokument.appがダウンロードされ、そして”AppStore.app”という名前に変更されたアプリケーションが”/Users/Shared”にインストールされ、オリジナルのAppStoreアプリは削除されてしまう。そしてそのインストールされたフォルダの位置で”AppStore.app（マルウェア）”が実行される。

「OSX/Dok」のその後の動きは賢いとしかいいようがない。「OSX/Dok」はニセモノのApp Storeのログインダイアログを生成し、しかも毎回Macを再起動するたびに自動的にそれが実行される。そして暫く時間が経過した後、ニセのmacOSアップデートのウインドウが開かれる。

▼ニセのOS Xアップデートウインドウ。これが画面一杯に表示されると、ユーザは全ての他へのアクセスや操作が禁止され、Update Allを押さざるを得なくなる。

感染したMacユーザはそこでパスワードを入れてニセのシステムアップデートを更新する前に、全ての他のウインドウへのアクセスを禁止される。そのため、他の情報を参照したり、他のことをすることができなくなり、Update Allを押さざるを得なくなるのだ。

そしてインストールが完了した後、この悪意のあるソフトウェアは先ほど入力されたパスワードを使って、Macの管理者権限を乗っ取ってしまう。管理者権限を乗っ取ったマルウェアは、その次にパッケージマネージャ”brew“、そして”TOR“と”SOCAT“をMacにインストールし、パスワードプロンプトを表示しないようにsudoersを”NOPASSWD: ALL”に書き換える。

そしてその後マルウェアはMacの全てのネットワーク設定を変更し、外部へのアクセスをする際に必ず【Proxyサーバ（プロキシサーバ、代理サーバのこと）】を通すようにしてしまう。これはつまり、ユーザがネットワーク上で何かをしたら、それが攻撃者に全て筒抜けになる、ということを意味している。またこのプロキシサーバを介することで「中継者攻撃」の動きもするようだ。

▼システム環境設定＞ネットワーク＞詳細＞プロキシタブで、VPNやプロキシサーバを自身で設定していなくてもこれが追加されていたら感染している。