2017年2月27日月曜日

2017年2月に確認された新しい Mac 用マルウェア


2017年2月は新しい Mac 用マルウェアが頻繁に確認・報告された月だった。Intego The Mac Security Blog の内容を中心にこのマルウェアをひとつずつ確認していこう。

Intego The Mac Security Blog - Month in Review: Apple Security in February 2017

OSX/Filecoder.E


2/23 に ESET によって報告された「OSX/Filecoder.E」は、Adobe Premiere CC や Office 2016 のパッチに偽装し、BitTorrent 経由で拡散されるランサムウェアだ。このランサムウェアを実行してしまうとファイルが暗号化され、複号化のために金銭(ビットコイン)が要求される。


Intego では即座にウイルス定義ファイルを更新し、VirusBarrier X5 および X6 では「OSX/Filecoder」、VirusBarrier 2013、X8、X9 では「OSX/Filecoder.fs」として、このランサムウェアのすべてのコンポーネントの検出ができるよう対応した。Apple もウイルス定義データベース XProtect を v2089 に更新して対応したが、GateKeeper が回避される事案も確認されおり、現時点での XProtect は亜種には対応できないと言われている。

OSX/Filecoder.E も一般的なランサムウェアと同様にまずはユーザーフォルダのファイルを暗号化し、次に /Volumes 直下の外部ドライブやネットワークドライブの暗号化を実行する。ランサムウェア対策として有効的な手段は定期的なバックアップだ。ただし前述のように、常時接続されている外部ドライブにバックアップを実行していると、バックアップデータもろとも暗号化されてしまう。そこで過去 act2(Tokyo Mac Blog) では、Personal Backup X9 を使用したランサムウェア対策として有効なバックアップ方法を紹介している。

Tokyo Mac Blog - インテゴ社のパーソナルバックアップを使用したMacのランサムウェア対策ガイド


XAgentOSX


2/14 に Palo Alto Networks によって詳細なセキュリティレポートが報告された「XAgentOSX」は、Sofacy、APT28、Fancy Bear などのさまざまなハッキンググループに関連した Komplex マルウェアの一種だ。以前から確認されていた Windows および Linux マルウェアである XAgent の亜種であるこのマルウェアは、パスワードを含む入力したすべての情報の定期記録、10秒ごとのスクリーンショットの自動取得、iPhone と iPad のバックアップデータの窃取、コマンドシェルへのアクセスなどが強化されている。

2/14 に Bitdefender Labs によって初回報告がされたが(Palo Alto Networks の詳細レポートはこの数時間後に発表された)、Intego は 2/8 にサンプルを受け取りウイルス定義ファイルを更新、VirusBarrier では「OSX / Sofacy.gen」 として検出ができるよう対応した。


Apple も遅れること現地時間の 2/18 に XProtect を v2088 に更新し、XAgentOSX や後述する MacDownloader をブロックした。

MacDownloader / OSX.iKitten.A


2/6 に複数のセキュリティ研究者によって報告された「MacDownloader」や「OSX.iKitten.A」は、イランの悪意ある攻撃者が関わっていると示唆されるアメリカ防衛産業を狙ったマルウェアだ。このマルウェアは航空宇宙会社に偽装されたサイトに配布され、偽の Flash Player インストーラを介して Mac に感染する。感染した Mac では Keychain 情報のコピーをアップロードしようとする。


一般的な日本の Mac ユーザーの驚異となることはないと思うが、偽の Flash Player のインストールを促す手法はスピアフィッシングサイトでよくみられる。これは、ターゲットが Adobe Flash のような広く使われているアプリケーションのアップデートをインストールするのに慣れていること、ターゲットの多くが画面上にポップアップが表示されても驚かず、潜在的な危険についてよく考えずにそれをクリックすることを知っているためだ。

EmPyre Word マクロ


これは前述の MacDownloader に関連する驚異だが、Mac ユーザーを対象にした悪意ある Microsoft Word ドキュメント(.docm という拡張子)を Objective-See が入手した。このドキュメントをユーザーが開こうとすると、文書にマクロが含まれていることを示すダイアログボックスが表示される(「マクロにはコンピュータに有害な可能性のあるウイルスが含まれている可能性があります」という表示)。ユーザーが警告を無視して、「マクロを有効にする」ボタンを不注意にクリックすると、Mac がマルウェアに感染する可能性あることが報告されている。このマルウェアは「EmPyre」と呼ばれ、Keychain 情報やブラウザの履歴情報を窃取することが可能である。


OSX.Proton.A


2/7 にイスラエルのセキュリティ企業 Sixgiil によって詳細なセキュリティレポートが報告された「OSX.Proton.A」は、2月頭にロシアのサイバー犯罪関連スレッドにてライセンス販売されていた Mac のリモートアクセスが可能なマルウェアだ。感染した Mac をリモートアクセスし、画面のリアルタイム表示、キーストロークの記録、ファイルのアップロードやダウンロード、Web カメラへのアクセス、bash コマンドの実行などが可能になる。


素早い対応で Mac を保護


Intego マルウェアチームは常に最新の潜在的な脅威を探し求めており、2月もメディアによるマルウェアの初期報告前、もしくはその直後に対応を完了している。素早いウイルス定義ファイル更新により、Intego VirusBarrier ユーザーは上記すべての脅威から保護されている

- テクニカルサポート TH

- 【30%OFF 】あなたの Mac と iPhone は、大丈夫です。-
VirusBarrier X9 詳細・ご購入

- 関連ブログエントリー -
Tokyo Mac Blog - あなたの Mac 、感染していたら具体的にどうしますか?

0 件のコメント:

コメントを投稿