悪質なMacマルウェアがGatekeeperを回避、ほとんどのウイルス対策アプリでは検出されないc

macOSマルウェアは昨年744%増加したことが明らかになりましたが、そのほとんどはアドウェアという比較的軽微なカテゴリーに分類されます。しかし、Redditで新たに発見されたマルウェアは「極めて悪質」なカテゴリーに分類され、安全なウェブサイトの利用状況を含むインターネット利用のすべてをスパイすることが可能です。

CheckPoint のセキュリティ研究者は、OSX/Dok と名付けたものを発見しました。これは Gatekeeper によって検出されず、偽の OS X アップデートを受け入れるまでユーザーは Mac で何もできなくなります…

OSX/Dokは、最初の侵入経路としてフィッシング攻撃を利用しています。被害者は、税務署を装った所得税申告に関するメールを受け取り、添付のzipファイルを開いて詳細を確認するよう求められます。もちろん、これはすぐに警鐘を鳴らすべきことです。たとえ既知の連絡先から送られてきたように見えても、予期しないzipファイルは絶対に開いてはいけません。

しかし、その後のマルウェアのアプローチは非常に巧妙です。AppStoreというログイン項目としてインストールされるため、マシンを起動するたびに自動的に実行されます。その後、しばらく待機してから、偽のmacOSアップデートウィンドウを表示します。

被害者は、パスワードを入力してマルウェアのインストールを完了させるまで、Windowsへのアクセスやマシンの使用を一切禁止されます。インストールが完了すると、マルウェアは被害者のマシンの管理者権限を取得します[…]

次に、マルウェアは被害者のシステムのネットワーク設定を変更し、すべての送信接続が、悪意のあるサーバーにあるプロキシ自動構成 (PAC) ファイルから動的に取得されるプロキシを通過するようにします。

つまり、インターネット上で行うあらゆる操作、たとえhttps接続で安全なサーバーにアクセスする場合であっても、攻撃者のプロキシを通過することになります。偽のセキュリティ証明書もインストールされるため、攻撃者は検知されることなく、あらゆるウェブサイトを偽装することができます。

上記のすべての動作の結果、ユーザーがウェブを閲覧しようとすると、ウェブブラウザはまずTOR上の攻撃者のウェブページにプロキシ設定を要求します。その後、ユーザーのトラフィックは攻撃者が管理するプロキシにリダイレクトされます。攻撃者は中間者攻撃を実行し、ユーザーが閲覧しようとする様々なサイトを偽装します。攻撃者は被害者のトラフィックを自由に読み取り、任意の方法で改ざんすることができます。

Gatekeeperがそもそもマルウェアをブロックしない理由は、有効な開発者証明書を持っているためです。Appleは証明書を失効させることで容易に対処できるはずですが、攻撃者が別の証明書にアクセスできれば、当然ながらマルウェアは再び活動を開始します。

フィッシング攻撃から身を守るためのガイドを確認してください。ブラウザの URL バーに表示される内容を必ずしも信じないでください。

criove.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。