Havebin

Apps

Windows 向けバックドアマルウェア、macOS 上で Adob​​e Flash を装うc

Havebin
qlamk
0 Comments
Windows 向けバックドアマルウェア、macOS 上で Adob​​e Flash を装うc
Windows 向けバックドアマルウェア、macOS 上で Adob​​e Flash を装うc
macOS 上の Snake Adob​​e Flash Player マルウェア

Windowsで発見された新たなバックドアマルウェアが、macOSに新たな侵入口を見つけました。正規のAdobe Flash Playerインストーラーを装ったこのマルウェアは、macOSの既存のフォルダに潜入することで、発見を困難にしています。有効な開発者証明書を使用しているため、Gatekeeperが有効になっている場合でもmacOS上で自由に実行できるよう設定されていました。

これらの証明書は、Gatekeeperによるアプリケーションの検証を支援するために作成されましたが、最近、悪意のあるソフトウェアの拡散に利用されています。これは、有効な証明書を利用したマルウェアインシデントの報告としては、過去1週間で2件目となります。

Snakeマルウェアとその派生亜種は、すでに10年近く前から存在しています。Malwarebytesよると、Snakeは2008年からWindowsシステムに感染しており、2014年にはLinux亜種も発見されています。Fox -ITは、 スイス政府のコンピュータ緊急対応チームの研究論文を引用し、Snakeを「比較的複雑なマルウェアフレームワーク」と表現しています。

Fox-IT は、  Snake が関与する攻撃は高度に標的を絞ったものであることを明らかにしています。

Snakeが使用された侵害事例を過去に分析した研究者たちは、これらの攻撃はロシアによるものだと結論付けています。ロシアとのつながりが疑われる他の攻撃者と比較すると、Snakeのコードははるかに洗練されており、インフラも複雑で、標的もより厳選されています。

今日の macOS バリアントはランダムに受け取るものではありませんが、それがどのように隠れるかが重要です。

SnakeのAdobe Flash マルウェア

macOSでは、SnakeはAdobe Flash Player.app.zipという.zipファイルで配布されます。このファイルには、正規版のAdobe Flash Playerが含まれていますが、バックドアが仕込まれたバージョンです。.zipファイルに含まれるアプリケーションは、Appleが発行した有効な署名付き証明書があるため、一見正規版のように見えます。しかし、詳しく調べてみると、署名はAdobeではなく、Addy Symondsという開発者によるものであることが分かります。アプリケーションのバンドル構造も、通常のものと比べて不自然です。

ほとんどのユーザーは、アプリをインストールする前にアプリケーションのバンドルをチェックしようとは思わないでしょう。

ユーザーがインストールを続行した場合、マルウェアは都合よく 正規のAdobe Flash Playerのコピーをシステムにインストールします。このインストール中に、マルウェアはmacOSのシステムフォルダにバックドアとなる悪意のあるファイルを追加し、永続化します。AppleのLaunchDaemonサービスを使用することで、バックドアが閉じられた場合でもすぐに再起動するようにできます。

Snakeのバックドアマルウェアに感染しているかどうかを確認する方法

現在出回っているSnakeマルウェアのバージョンにはデバッグコードが含まれており、証明書は今年2月に署名されています。このことから、  Fox-ITは、 このマルウェアはまだ実用化されていないものの、すぐに標的に利用される可能性があると考えています。

幸いなことに、 Adobe Flash Player.app.zipファイルがシステム上にインストールされている場合  、macOS の Gatekeeper は開発者証明書を有効として表示しなくなります。Apple は、さらなる被害を抑えるため、該当の開発者証明書を失効させました。

システムがSnakeバックドアマルウェアに感染しているかどうかを簡単に確認するには、Malwarebytes for Macでスキャンを実行してください。この無料ソフトウェアはSnakeをOSX.Snakeとして検出し、削除します。

感染を手動で確認する場合、バックドア マルウェアは次のさまざまなコンポーネントをインストールします。

  • /ライブラリ/スクリプト/キュー
  • /ライブラリ/スクリプト/installdp
  • /ライブラリ/スクリプト/installd.sh
  • /ライブラリ/LaunchDaemons/com.adobe.update.plist
  • /var/tmp/.ur-*
  • /tmp/.gdm-ソケット
  • /tmp/.gdm-selinux

Malwarebytesは、感染した場合はパスワードを変更し、会社のIT部門に連絡することを推奨しています。前者は自分自身とオンラインアカウントのセキュリティを確保するためのものであり、後者は企業への潜在的な損害を軽減するためのものです。

このような攻撃はスピアフィッシングメールを通じて簡単に広がるため、オンラインでの行動には注意してください。

画像提供:Malwarebytes

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like