マイク・ワーテル
· 1分で読めます
Mac を標的とした新しいマルウェアが出回っており、ハッカーがリモートでコードを実行したり、ユーザーのコンピューター上の FaceTime カメラを制御したりする可能性があるが、Apple 独自の Gatekeeper セキュリティにより、署名のないアプリのインストールは阻止される。
新たに出現したEasyDoc Converterは、被害者のコンピュータに様々なマルウェアをインストールしますが、Appleの認証を受けていないため、macOSのGatekeeperツールはデフォルト設定でもユーザーを適切に保護できるはずです。Bitdefenderの研究者は今週、このマルウェアパッケージの詳細分析を公開し、「Backdoor.MAC.Eleanor」と名付けました。
このマルウェアは、「EasyDoc Converter.app」という偽のファイル変換アプリケーション内に隠されています。ユーザーがこの機能しないソフトウェアをインストールすると、悪意のあるスクリプトがダウンロードされます。
アプリをインストールすると、FaceTime カメラにアクセスしたり、ファイルをダウンロードしたり、コマンドを実行したり、添付ファイル付きのメールを送信したりできるさまざまなツールが取得されます。
FaceTimeカメラへのリモートアクセスは、「wacaw」と呼ばれるオープンソースのカメラアクセスツールを介して可能です。EasyDoc ConverterにはTor隠しサービスも含まれており、攻撃者がマシンをリモート制御できるようになります。
しかし、Apple の Gatekeeper セキュリティ パッケージを Mac 上で有効にしているユーザー (デフォルト設定) は保護されていると言われています。
さらに、Little Snitchのようなインターネット接続監視アプリケーションは、送受信の通信を監視・ブロックするのに使用できます。さらに、Patrick Wardle氏のBlockBlockのようなユーティリティは、マルウェアなどの永続的なコンポーネントのインストールを阻止できます。AppleInsiderはマルウェアのインストールをテストしましたが、現時点ではAppleの統合型セキュリティ機能Xprotectは、最近発見されたマルウェアを阻止するためのアップデートがされていません。
本日明らかになった「Backdoor.MAC.Eleanor」マルウェアは、アドウェアを除いて2016年に発見された2件目のOS X関連マルウェアです。3月には、BitTorrentクライアントTransmissionの偽バージョンがファイルリポジトリにアップロードされ、短期間の公開期間中に、何も知らないユーザーによって6,500回もダウンロードされました。最終的にはXprotectのアップデートによって阻止され、正規のTransmission開発者によって削除手順が公開されました。
Backdoor.Mac.Eleanor のインストールに関して、コンピュータフォレンジックの専門家 Jonathan Zdziarski 氏はThe Registerに、このパッケージは「プログラムを実行したユーザーにとって深刻な問題となる可能性があるが、もちろん (いつものように) コンピュータにインストールするものには注意しなければならない」と語った。
EasyDoc Converter アプリケーションは一夜にして MacUpdate から削除され、Mac App Store では入手できなくなりました。
