9to5Mac の読者は、ユーザーを詐欺 Web サイトに誘導してソフトウェアのダウンロードを要求するマルウェアの危険にさらされることはないが、Malwarebytes は、技術に詳しくないユーザーを簡単に騙す可能性のある、これまで知られていなかった Mac マルウェアを発見した。 

Malwarebytes の主任研究員 Thomas Reed 氏は、Advanced Mac Cleaner の公式 Web サイトでホストされている詐欺ページでこのマルウェアを発見したと述べています。

このアプリは、Advanced Mac Cleanerを自分のマシンにインストールするリクエストを承認するユーザーを前提としていますが、承認すると「Mac File Opener」と呼ばれる別のアプリもインストールされます。リード氏によると、当初はどのようにしてこのアプリがユーザーに起動を強制するのかが明確ではありませんでした。

さらに興味深いのは、このアプリには起動するための仕組みが見当たらないことです。ログイン項目にも追加されておらず、アプリを読み込むための新しい起動エージェントやデーモンも用意されていませんでした。ただそこに留まり、何もしていないように見えました。

しかし、調査を進めると、アプリ内のInfo.plistファイルには、開けるとされる232種類のファイル形式のリストが定義されていることが判明しました。対応するアプリがないファイルを開こうとすると、Mac File Openerによってファイルが開かれ、適切なアプリがインストールされていないことを通知する通常のOS Xダイアログボックスの、かなり説得力のある偽物が表示されます。

偽のダイアログボックスはmacfileopener[dot]comというウェブサイトにリンクしており、そこからMac Adware RemoverやMac Space ReviverといったPCVARK系の迷惑アプリがダウンロードされます。これらのアプリはすべてApple提供の有効な開発者証明書を持っているため、OS Xは警告なしにインストールしてしまいます。

技術にあまり詳しくない友人には、公式のMac App Storeだけを使うように、そしてウェブに誘導しようとする上記のような偽のダイアログがないか必ず確認するように伝えた方が良いかもしれません。Macを狙ったマルウェアはごくわずかですが、実例は存在し、詐欺ウェアも少なからず存在します。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。