Macユーザ要注意!マルウェア検出エンジンで見つからない”トロイの木馬”OSX/Dokが登場

  • ブックマーク
  • Feedly
  • -
    コピー

macOSシステムを対象とする悪意のあるソフトウェアは、昨年に比べて744%も増えている。そしてそのうちの大部分は広告やメールに紛れて入ってくるという。そして昨日、イスラエルの企業のセキュリティチームが、「深刻」レベルの新しいMac用の悪意のあるソフトウェアを発見し公表した。このマルウェアに感染すると、ユーザのhttpsトラフィックを監視されるようになり、更に端末が中継者攻撃(MiTM)の踏み台になってしまう。

マルウェア対策ソフトの検出エンジンで検出できない

イスラエルのセキュリティ企業、Check Point Software Technologies Ltd.のセキュリティチームがこの新しいMac用の悪意のあるソフトウェアを発見した。しかもこのマルウェアは大多数のマルウェア対策ソフト(ウイルスチェックソフト)の検出を免れてしまうという(現在のところ発見できる検出エンジンがない)。

 

マルウェア(トロイの木馬)の名前は「Trojan.OSX.DOK(OSX/Dok)」

ユーザはニセのOS X(或いはmacOS Sierra)のアップデート通知を出すまでは、このソフトウェアは一切何もしない。このマルウェアの名前は「Trojan.OSX.DOK(以下OSX/Dok)」と名付けられている、いわゆる”トロイの木馬”だ。

 

Macへのマルウェア「OSX/Dok」感染経路とマルウェアの動き

最初この「OSX/Dok」は主にフィッシングによって攻撃を開始する。ユーザはまず「税務署から来た」というメールに添付された圧縮ファイルのZipファイルを開くことで感染する。

▼税務署からのメール、ドイツ語と英語があるらしい。日本語はないから日本人は安心といえば安心だが英語圏やドイツ語圏の海外にいる人などは要注意。

Tax-Return-OSX-Dok-20170428

Tax-Return-OSX-Dok-English_20170428

▼そのZipファイルはうまく開けず、失敗で終わる。という風に見せかけて既にマルウェアはインストールされている。この辺もうまい。

OSX-DOK_install_01

▼実際のマルウェアのインストールの動き。まず開発者名”Seven Muller”という名前で署名された”Truesteer.AppStore”が実行され、まずはダウンロードフォルダにDokument.appがダウンロードされ、そして”AppStore.app”という名前に変更されたアプリケーションが”/Users/Shared”にインストールされ、オリジナルのAppStoreアプリは削除されてしまう。そしてそのインストールされたフォルダの位置で”AppStore.app(マルウェア)”が実行される。

Truesteer-AppStore-OSX-Dok-20170428

「OSX/Dok」のその後の動きは賢いとしかいいようがない。「OSX/Dok」はニセモノのApp Storeのログインダイアログを生成し、しかも毎回Macを再起動するたびに自動的にそれが実行される。そして暫く時間が経過した後、ニセのmacOSアップデートのウインドウが開かれる。

▼ニセのOS Xアップデートウインドウ。これが画面一杯に表示されると、ユーザは全ての他へのアクセスや操作が禁止され、Update Allを押さざるを得なくなる。

OSX-DOK_fake_OSX_macOS_update_window

感染したMacユーザはそこでパスワードを入れてニセのシステムアップデートを更新する前に、全ての他のウインドウへのアクセスを禁止される。そのため、他の情報を参照したり、他のことをすることができなくなり、Update Allを押さざるを得なくなるのだ。

そしてインストールが完了した後、この悪意のあるソフトウェアは先ほど入力されたパスワードを使って、Macの管理者権限を乗っ取ってしまう。管理者権限を乗っ取ったマルウェアは、その次にパッケージマネージャ”brew“、そして”TOR“と”SOCAT“をMacにインストールし、パスワードプロンプトを表示しないようにsudoersを”NOPASSWD: ALL”に書き換える。

そしてその後マルウェアはMacの全てのネットワーク設定を変更し、外部へのアクセスをする際に必ず【Proxyサーバ(プロキシサーバ、代理サーバのこと)】を通すようにしてしまう。これはつまり、ユーザがネットワーク上で何かをしたら、それが攻撃者に全て筒抜けになる、ということを意味している。またこのプロキシサーバを介することで「中継者攻撃」の動きもするようだ。

▼システム環境設定>ネットワーク>詳細>プロキシタブで、VPNやプロキシサーバを自身で設定していなくてもこれが追加されていたら感染している。

OSX-DOK_install_03

感染しているかを見分けるには、更にSpotlight検索で【キーチェーンアクセス】を検索して実行し、下の証明書が入っていないかどうかを確認する。

▼Mac標準アプリの【キーチェーンアクセス】にこのような認証証明書が追加されていたら感染している証拠だ。

OSX-DOK_install_04 OSX-DOK_install_05

知らないメールの添付ファイルは開かないこと

Macに感染するマルウェアはまだまだWindowsに比べ少ないものの、昨年に比べて744%も増えているということは要注意だ。

ともかく知らないメールの添付ファイルはむやみに開かないことが肝要かと思われる。

記事は以上。

(記事情報元:CheckPoint

 

Visited 111 times, 1 visit(s) today
  • ブックマーク
  • Feedly
  • -
    コピー

この記事を書いた人