Oligur

• ニュース

Appleの新しい削除ツールのおかげでFlashbackトロイの木馬が絶滅の危機に瀕している今、私たちは新たな脅威に目を向けるべきです。Microsoft Officeの脆弱性により、「Backdoor.OSX.SabPub.a」トロイの木馬がMac OS Xシステムに感染し、Javaの脆弱性を利用してマルウェア対策製品による検出を回避しています。

システムに侵入すると、トロイの木馬はシステムのスクリーンショットをフィードバックし、コマンドを実行することができます。

カスペルスキーのコスティン・ライウ氏によると、このトロイの木馬はすでに1ヶ月前から存在しており、カリフォルニアにあるリモートサーバーに接続して命令を受信します。マルウェア対策製品による検出を回避するため、「Exploit.Java.CVE-2012-0507.bf」というJavaエクスプロイトを利用しています。

このトロイの木馬がMacに感染する経路は現時点では不明ですが、ライウ氏によると、感染したOffice文書に加え、マルウェアへのリンクを含むメールを介して拡散しているという報告もあるとのことです。また、このトロイの木馬は「活動段階」にあると述べ、文書を検索する前にカスペルスキー社が運営する「ヤギ」型マシンを制御できたことを確認しました。

ライウ氏は、このエクスプロイトは、感染した文書を使ってマシンを制御する「LuckyCat」のようなマルウェアを生み出したのと同じ親チベットキャンペーンの一部である可能性があると考えている。

このバックドアが発見されたタイミングは興味深いものです。3月には、Mac OS Xユーザーを標的とした親チベット派の攻撃が複数の報告で指摘されていたからです。このマルウェアはこれらの攻撃で使用されたものとは類似していないようですが、同一または類似のキャンペーンの一部であった可能性はあります。

カスペルスキーは、このマルウェアに関する調査を継続することを約束しており、Macユーザーの皆様には、マシンの安全を確保するために、通常の予防措置を講じることを推奨しています。具体的には、マシンとソフトウェアを最新の状態に保つこと、ダウンロードしていないソフトウェアをインストールしないこと、そして優れたセキュリティソリューションを使用することなどが挙げられます。

[The Register経由]