macOS DNSハイジャック・マルウェアが発見⁈、スクリーンショット、ファイルアクセスなど可能?

0
1306

Apple macOSは、新しいDNSハイジャック攻撃の標的になっています。 The Hacker Newsによれば、新たに発見されたマルウェアは2011年に400万台以上のコンピュータに影響を与えたDNSChangeトロイの木馬に近いものだと報告しています。

この種のマルウェアは、コンピュータのDNSサーバー設定を変更し、悪意のあるサーバーを経由してトラフィックをルーティング、プロセス内の機密データを記録します。この新しいマルウェアは、OSX / MaMiと呼ばれています。

このマルウェアのニュースは、Malwarebytesフォーラムで初めて報告され、元NSAハッカーのPatrick Wardle氏が大々的に取り上げています。 Wardle氏は、マルウェアが実際にDNSをハイジャックすることを発見しましたが、実際にはさらに根深く、新しいルート証明書をインストールして暗号化された通信を乗っ取ってしまいます。

OSX / MaMiは特に高度なものではありませんが、厄介なことに、感染したシステムを永続的な方法で変更を加えます。

新しいルート証明書をインストールし、DNSサーバーを乗っ取ることで、攻撃者は、多くのトラフィック情報を盗み、改ざんするなど、悪質な行為を実行することができます。

さらに、マルウェアの到達範囲は、マウスイベントの生成、スクリーンショットの取得などにも広がっていると言われています。

  • スクリーンショットを撮る
  • シミュレートされたマウスイベントの生成
  • おそらく起動アイテム(programArguments、runAtLoad)を挿入
  • ファイルのダウンロードとアップロード
  • コマンドの実行

まだこの攻撃について多くのことがわかりません。たとえば、その広がり方に関する具体的な情報は不明なままです。しかし、Wardleは、攻撃者が、基本的な悪質な電子メールや偽のセキュリティ警告やポップアップを使用している可能性があると推測しています。

現在のところ、システム環境設定を起動し、ネットワークメニューに進み、「詳細設定」を選択してDNSメニューに切り替えることで、影響を受けていないよう防ぐことができることが確認されています。

アンチウイルス製品はマルウェアを検出していないことに注意することが重要です。

Wardle氏は、OSX / MaMiマルウェアが、データを盗むのを防ぐLuluと呼ばれるmacOS用の無料オープンソースファイアウォールをリリースする予定です。 Wardleからの情報、原文は下記になります。

Warning: New Undetectable DNS Hijacking Malware Targeting Apple macOS Users