Macは通常、悪意のあるハッカーの標的にはなりませんが、Malwarebytesの研究者が、Macに強力な未知のバックドアマルウェアをインストールする、新しいトロイの木馬OSX.dokの亜種を発見しました。MalwarebytesのAdam Thomas氏がこの亜種を発見し、昨日Malwarebytesのブログで紹介されました。
このトロイの木馬は、「Dokument.app」という名の圧縮アプリを介して配信されます。このアプリはドキュメントであるとされています。失効した証明書で署名されており、/Users/Shared/AppStore.appに自身をコピーした後、アプリが破損していることを示す警告を表示します。
「OK」ボタンをクリックすると、アプリは約1分後に閉じて自動的に削除されます。しかし、その間にOSX.dokトロイの木馬は、オープンソースのバックドアマルウェア「Bella」を配信します。Bellaは何をするのでしょうか?iMessageやSMSの会話ログの不正な窃取、「iPhoneを探す」や「友達を探す」によるデバイスの位置情報の取得、パスワードのフィッシング、キーチェーンの窃取、Macのマイクやウェブカメラからのデータのキャプチャ、スクリーンショットの作成とコピー、リモートシェルや画面共有などです。
さらに悪いことに、BellaはmacOS 10.12.1以前の脆弱性を悪用したり、フィッシング詐欺で管理者ユーザーのパスワードを盗み取ったりすることで、ルート権限の取得を可能にします。これはリモートから制御可能なバックドア型マルウェアであるため、トーマス氏は「コマンド&コントロール」IPアドレスをロシアのホスティング会社まで追跡しました。
トーマス氏は、このマルウェアのコード署名証明書が失効しているため、現時点ではこの亜種に感染する者はいないと指摘しています。しかし、Bellaはオープンソースであり、将来的には他のインストーラーコードによってMacに侵入される可能性があります。無料のMalwarebytesアプリのインストール、あるいはClamXavやBitdefenderなどのアプリの導入を検討するには、今が絶好の機会と言えるでしょう。
