MacOS上でWindowsのバックドアマルウェアがAdobe Flashとして偽装

2017年5月6日

1776

もともとWindowsで発見された新しいバックドアマルウェアが、macOSでも見つかりました。正式なAdobe Flash Playerインストーラとして侵入したマルウェアは、既存のmacOSフォルダに潜入して見つけにくくなります。有効な開発者の証明書を使用したため、Gatekeeperを有効にしていても、マルウェアはmacOSで無料で実行されるように設定されていました。

これらの証明書は、Gatekeeperでアプリケーションを検証するために作成されたものですが、最近は悪質なソフトウェアの普及に使用されています。これは、有効な証明書を使用して過去2週間に報告されたマルウェアの2番目の事件です。

Snakeマルウェアとそれが由来する亜種は、現在では約10年近くにわたり存在しています。 Malwarebytesの報告Snakeは2008年に遡ってWindowsシステムに感染しており、2014年に発見されたLinuxの亜種も発見しました.Fox-ITは、スイス政府のComputer Emergency Response Teamの研究論文を引用して「比較的複雑なマルウェアフレームワーク」と表現しています。

Fox-ITは、Snakeに関わる攻撃が高度に標的にされていることを明確にしています。

以前にSnakeが使用された場所での妥協案を分析した研究者は、この攻撃をロシアに帰していた。ロシアとの関係が疑わしい他の多発性の攻撃者と比較して… Snakeのコードははるかに洗練されており、インフラストラクチャはより複雑で、より厳格に選択されています。

macOSの亜種はランダムに受け取るものではありませんが、それ自体を隠す方法は重要です。

SnakeのAdobe Flashマルウェア

macOSでは、SnakeはAdobe Flash Player.app.zipという.zipファイルを介して配布されます。このファイルには正当ではあるが、Adobe Flash Playerのバージョンが含まれています。 .zipファイルに含まれているアプリケーションは、Appleを通じて発行された有効な署名付き証明書のために当初正当に見えます。より詳細な検査の結果、この署名は、アドビ・シモンズと呼ばれる開発者からのものであり、Adobeのものではありません。アプリケーションのバンドル構造でさえ、通常のものと比べて奇妙に見えます。

ほとんどのユーザーは、アプリケーションをインストールする前にアプリケーションのバンドルをチェックするとは思わないでしょう。

ユーザーがインストールを進めていた場合、マルウェアによって、Adobe Flash Playerの正当なコピーがシステムにインストールされます。このインストール中に、バックドアの悪意のあるファイルがmacOSシステムフォルダに追加され、それらを永続的に保ちます。アップルのLaunchDaemonサービスを使用することで、バックドアがすぐに終了した場合でも、バックドアがすぐに再起動されるようにすることができます。

Snakeのマルウェアに感染しているかどうかをチェックする方法

現在野生のSnakeマルウェアバージョンにはデバッグコードが含まれており、その証明書は今年2月に署名されました。これにより、Fox-ITはそれがまだ稼働していない可能性もあると信じていますが、間もなく目標に使用されるでしょう。

幸いにも、誰かがAdobe Flash Player.app.zipファイルをシステムに持っていれば、macOSのGatekeeperはデベロッパー証明書を有効であると表示しなくなります。アップルは、そのデベロッパーの証明書を取り消して、さらなる被害を軽減しました。

システムがSnakeのバックドアマルウェアに感染しているかどうかを簡単に確認するには、Mac用のMalwarebytesでスキャンを実行します。フリーソフトウェアはSnakeをOSX.Snakeとして検出して削除します。

手動で感染をチェックする場合は、バックドア型のマルウェアが次のさまざまなコンポーネントをインストールします。

/ Library / Scripts / queue

/ Library / Scripts / installdp

/Library/Scripts/installd.sh

/Library/LaunchDaemons/com.adobe.update.plist

/var/tmp/.ur-*

/tmp/.gdm-socket

/tmp/.gdm-selinux