厄介なMacマルウェアはゲートキーパーをバイパスし、ほとんどのウイルス対策アプリケーションでは検出不可能

0
1746

最近、macOSのマルウェアは昨年744%増加しましたが、そのほとんどはあまり心配していないカテゴリのアドウェアに分類されました。しかし、新たに発見されたマルウェア(Redditを介して)は、安全なウェブサイトの使用を含む、すべてのインターネット使用を偵察することができる「真剣に厄介な」カテゴリに分類されます。

チェックポイントのセキュリティ研究者は、ゲートキーパーによって検出されないように管理するOSX / Dokとラベル付けしたものを見つけ、偽のOS Xアップデートを受け入れるまで、Macで何かをやっているユーザーを止めます。

OSX / Dokは最初の方法としてフィッシング攻撃に頼っています。犠牲者には所得税申告に関する税務署からの電子メールが送信され、詳細については添付ファイルを開くように求められます。これは、もちろん、直ちに警報音を鳴らすべきです。知られている連絡先からのものであっても、誰も期待していないzipファイルを開くべきではありません。

しかしその後、マルウェアによるアプローチは非常に巧妙です。 AppStoreという名前のログイン項目としてインストールされます。つまり、マシンが起動するたびに自動的に実行されます。しばらく待ってから、偽のmacOSアップデートウィンドウを表示します。

犠牲者は、ウィンドウにアクセスしたり、マシンを使用したり、パスワードを入力したり、マルウェアのインストールが完了するまで、何らかの方法でマシンを使用することを禁止されています。彼らがやってくると、マルウェアは被害者のマシンに対する管理者権限を得る[…]

マルウェアは、すべての発信接続が悪意のあるサーバーにあるProxy AutoConfiguration(PAC)ファイルから動的に取得されるプロキシを通過するように、対象システムのネットワーク設定を変更します。

つまり、あなたがインターネット上でやっていることは、文字通りhttps接続を使って安全なサーバーにアクセスしても、攻撃者のプロキシを通過することになります。偽のセキュリティ証明書もインストールされ、攻撃者はフラグを立てることなく任意のWebサイトを偽装することができます。

上記のすべての操作の結果として、ウェブをサーフしようとすると、ユーザーのWebブラウザはまずTORの攻撃者Webページにプロキシ設定を尋ねます。その後、ユーザートラフィックは、Man-In-the-Middle攻撃を実行し、ユーザーがサーフしようとするさまざまなサイトを偽装する攻撃者によって制御されるプロキシを介してリダイレクトされます。攻撃者は、犠牲者のトラフィックを自由に読んで、何らかの方法でそれを改ざんします。

ゲートキーパーが最初にマルウェアをブロックしない理由は、有効な開発者の証明書を持っているからです。これは、Appleが証明書を取り消すことで対処するのを容易にするはずですが、もちろん、攻撃者が別の証明書にアクセスできる場合は、再度動作を開始します。

フィッシング攻撃から身を守るためのガイドをチェックし、ブラウザのURLバーに表示されている内容を必ずしも信じていないことを確認してください。