Oligur

• ニュース

macOS ユーザーを標的とする「大規模」なマルウェアの新種である OSX/Dok は、悪意のあるソフトウェアをブロックするように設計された Gatekeeper 機能を回避できます。

新たに確認されたトロイの木馬は、偽のソフトウェアアップデートをインストールするまでMac上で何もできなくなるが、多くのウイルス対策プログラムでは検出されない。

macOSユーザーの増加に伴い、それを標的とするマルウェアも増加しています。McAfee Labsによると、2016年にはMacコンピューターを狙ったマルウェア攻撃が744%増加し、約46万件のサンプルが発見されました。特に最近の事例は懸念すべきものです。

Check Pointのセキュリティ研究者によって発見されたOSX/Dokは、macOSとOS Xのすべてのバージョンに影響を及ぼす可能性があります。最初に発見されたときはウイルス対策データベースでは認識されず、Macユーザーを標的とした最初の「大規模マルウェア」であると考えられています。

OSX/DokマルウェアはすべてのMacを標的に

このマルウェアの最も厄介な点は、Appleによって認証された有効な開発者証明書で署名されていることです。つまり、macOSはこれを脅威と見なさず、Gatekeeperによってブロックされることもありません。証明書の日付は2017年4月21日です。

「OSX/Dokへの感染が完了すると、攻撃者はSSL暗号化された通信を含む、被害者のあらゆる通信に完全にアクセスできるようになります」とチェック・ポイントは説明しています。「これは、被害者のトラフィックを悪意のあるプロキシサーバーにリダイレクトすることで実現されます。」

このマルウェアは主にヨーロッパで、フィッシングメールを通じて拡散されています。フィッシングメールは、ユーザーに納税申告書の不一致を詳細に記述したファイルをダウンロードするよう促します。ドイツのユーザーの間では、このファイルは「Dokument.zip」という名前で配布されています。

OSX/Dok Macマルウェアの仕組み

開くと、マルウェアは自身を/Users/Sharedフォルダにコピーし、自動的に実行を開始します。また、ダウンロードフォルダから元のダウンロードの痕跡をすべて削除し、「ファイルを開けませんでした」とユーザーに思わせるエラーメッセージを表示します。

マルウェアが「AppStore」というログイン項目として自身を追加していることに、彼らは気づいていません。このログイン項目は、Macの初回起動時に自動的に実行されます。マルウェアは、ペイロードのインストールが完了するまで、感染したMacが起動するたびに実行され続けます。

「悪意のあるアプリケーションは、他のすべてのウィンドウの上に新しいウィンドウを作成します。この新しいウィンドウには、オペレーティングシステムにセキュリティ上の問題が検出されたため、アップデートが利用可能であり、アップデートを続行するにはユーザーがパスワードを入力する必要があるという内容のメッセージが表示されます。」

このポップアップが表示されると、偽のアップデートのインストールに同意するまでMacで何もできなくなります。そしてもちろん、パスワードを入力するとマルウェアに管理者権限が付与され、攻撃の次の段階に進むことができます。

これには、追加ツールをダウンロードしてインストールするパッケージマネージャーのインストールや、既存のユーザーアカウントにパスワード入力なしで即座に管理者権限を付与することが含まれます。また、すべての送信接続がプロキシを経由するようにネットワーク設定を変更します。

OSX/Dok Macトロイの木馬が行うこと

もちろん、そのプロキシは「ダークウェブ」上の悪意のあるサーバー上にあり、そこを通過するすべてのデータが収集されます。

「上記のすべてのアクションの結果として、ユーザーがウェブを閲覧しようとすると、まずユーザーのウェブブラウザはTOR上の攻撃者のウェブページにプロキシ設定を要求する」とチェック・ポイントは述べている。

「その後、ユーザーのトラフィックは攻撃者が管理するプロキシを経由してリダイレクトされます。攻撃者は中間者攻撃を実行し、ユーザーが閲覧しようとする様々なサイトを偽装します。攻撃者は被害者のトラフィックを自由に読み取り、好きなように改ざんすることができます。」

攻撃者が目的の情報を入手すると、マルウェアは感染したマシンから自身を削除します。ユーザーは、手遅れになるまでバックグラウンドで何が起こっていたのか全く分かりません。

出典：ハッカーニュース