2016年7月7日木曜日

ファイルコンバータアプリに装った新たな OS X マルウェアが確認される


BitDefender Labs によると、Mac にバックドアを開き、Mac を遠隔操作可能な状態にしてしまう新たな OS X マルウェアを確認したようです。
最新のセキュリティツール X9 シリーズをリリースしたばかりの intego 社の方でも、公式ブログ「The Mac Security Blog」にてこのマルウェアをいち早く紹介しています

intego he Mac Security Blog - New Dangerous Mac Malware Masquerades as File Converter App



ファイルコンバータアプリのインストーラに同梱


このマルウェアは「EasyDoc Converter」というファイルコンバータアプリのインストーラに同梱されており、ダウンロードサイト MacUpdate にて配布されていました(現在は排除されています)。このアプリ自体はドラッグ & ドロップによるファイルコンバータアプリと説明されていましたが、実態は悪質なスプリクトをダウンロードさせる為のアプリだったようです。



Mac のシステムへのフルアクセスが可能な状態に


感染した Mac ではバックドアを開き、攻撃者は、ファイルの編集や消去・スクリプトの実行・Web カメラを使用してのビデオや画像キャプチャなど、様々な操作が可能になるとの事です。

感染確認


バックドアコンポーネントはユーザのディレクトリにインストールされます。

~/Library/.dropbox

また、マルウェアは3つのエージェントを下記のディレクトリにインストールします。

  1. The TOR hidden service
    ~/Library/LaunchAgents/com.getdropbox.dropbox.integritycheck.plist
  2. The php web service (the backdoor control panel).
    ~/Library/LaunchAgents/com.getdropbox.dropbox.usercontent.plist
  3. The PasteBin agent
    ~/Library/LaunchAgents/com.getdropbox.dropbox.timegrabber.plist

VirusBarrier は対応済み


intego 社の VirusBarrier は「OSX/Eleanor.」として、このマルウェアを検出する事が可能です。

- テクニカルサポート TH


0 件のコメント:

コメントを投稿