マイキー・キャンベル
· 1分で読めます
F-Secure のセキュリティ研究者によると、Trojan-Dropper:OSX/Revir.A として識別されるこのトロイの木馬は、ユーザーを騙して中国語の PDF ファイルをダウンロードさせて開かせ、その間にバックグラウンドでインストールすることでボットネットのバックドアを開くという。
このトロイの木馬のコマンド&コントロールセンターは現在、5月からドメイン内で休眠状態にあるApacheのベアインストールであり、バックドアとの通信はまだ不可能です。このことから、研究者たちは、開発中のマルウェアを発見したと考えています。
トロイの木馬は通常、PDFファイルを装い、ユーザーがファイルを開いている間にシステムに感染します。しかし、研究者たちは、この特定のサンプルは通常のマルウェアよりもステルス性が高い可能性があると考えています。
この新しいトロイの木馬は、一般的な「pdf.exe」拡張子やアイコンを持たずに研究者の元に届いたという点で、ほとんどのWindows向けPDFマルウェアとは異なります。研究者らは、Macでは拡張子とアイコンデータの保存方法と表示方法が異なるため、このサンプルは任意の拡張子を利用できるため、Windows向けよりも検出が困難になる可能性があると指摘しています。
PDF ファイルをマルウェア拡散の口実として利用する手法は、これまでは主に Windows の問題であり、Mac ユーザーにとっては最小限の脅威にとどまっています。
このマルウェアがどのように拡散しているのかは不明ですが、研究者たちはメールの添付ファイル経由が最も可能性の高い拡散経路だと考えています。研究者たちは、このトロイの木馬の作成者は、自身の作成したマルウェアが様々なウイルス対策アプリケーションによって検出されるかどうかを「探り」ようとしているだけかもしれないと示唆しています。
