バックドアを使用し、Macをコントロールするマルウェア「Backdoor.MAC.Eleanor」が確認される。

スポンサーリンク

 バックドアを使用し、Macをコントロールするマルウェア「Backdoor.MAC.Eleanor」が確認されたそうです。詳細は以下から。

EasyDoc-Converter-logo-icon

 ルーマニアのセキュリティ企業BitdefenderによるとOS Xにバックドアを作成し、リモートでMacをコントロールするマルウェア「Backdoor.MAC.Eleanor」が確認され、同企業の研究者らがこのマルウェアを分析したレポートを公開しています。

A new piece of malware, dubbed Backdoor.MAC.Eleanor by Bitdefender researchers, exposes Apple systems to cyber-espionage and full, clandestine control from malicious third-parties.

New Backdoor Allows Full Access to Mac Systems, Bitdefender Warns

Backdoor.MAC.Eleanor

 Backdoor.MAC.EleanorはEasyDoc Converterというアプリに同梱されており、このドキュメントコンバーターアプリ(とされている)アプリを使用するとインストーラースクリプトが実行され、MacにWeb Serverを設置。

EasyDoc-Converter

EasyDoc Converter is a fast and simple file converter for OS X. Instantly convert your FreeOffice (.fof) and SimpleStats (.sst) docs to Microsoft Office (.docx) by dropping your file onto the app. EasyDoc Converter is great for employees and students looking for a simple tool for quickly convert files to the popular Microsoft format.

EasyDoc Converter for Mac

 その後、Tor Hidden Serviceを構成し、Command&Controlサーバーからの命令があると悪意のある攻撃者は以下のコントロールパネルから様々な操作を行うことが可能になる様です。

Backdoor-MAC-Eleanor_control-panel2

  • ファイルマネージャー(ファイルの編集, 消去, アップロード/ダウンロード)
  • コマンドの実行
  • スクリプトの実行(PHP, PERL, Python, Ruby, Java, C)
  • bind/reverse Shellの接続
  • シンプルなパケット生成ツール
  • データベースへの接続&管理
  • プロセスマネージャー
  • 添付ファイルを含むEmailの送信
  • Macのウェブカメラを利用した画像やビデオキャプチャ

感染経路

 Backdoor.MAC.EleanorはAppleのデジタル署名を持っていないため感染経路はMac App Store経由でなくMacUpdateなどのアプリ販売/CDNサイトで、MacUpdateはこのマルウェアを含んだ「EasyDoc Converter」を既に排除しています。

MacUpdate-Easy-Converter-is-Backdoor-MAC-Eleanor2

This app is not digitally signed by Apple. As a good safety precaution, Bitdefender recommends downloading applications exclusively from reputable websites, and using to fend off Mac-targeting malware and other specific threats.

New Backdoor Allows Full Access to Mac Systems, Bitdefender Warns

感染の確認方法

 Bitdefenderは同社のアンチウィルスアプリがこのマルウェアの検出に対応したと発表しており、VirusTotalでもClamAVやESET, Kasperskyなどがこのマルウェアの検出に対応しているのが確認できますが、

VirusTotal-detect-Backdoor-MAC-Eleanor

このマルウェアは以下のディレクトリおよびコンポーネントを作成するそうなので、気になる方は確認してみてください。*”.dropbox”という名前ですがDropboxとは関係ありません。

/Users/$USER/Library/.dropbox
  1. Tor Hidden Service
  2. ~/Library/LaunchAgents/com.getdropbox.dropbox.integritycheck.plist
  3. Web Service(PHP)
  4. ~/Library/LaunchAgents/com.getdropbox.dropbox.usercontent.plist
  5. PasteBin Agent
  6. ~/Library/LaunchAgents/com.getdropbox.dropbox.timegrabber.plist

おまけ

 Patrickさんが開発しているマルウェア対策アプリ「BlockBlock」もこのマルウェアのブロックが可能だそうです。

 Bitdefenderの公式サイトには更に詳細なレポートが公開されているので、興味のある方は確認してみてください。

コメント

  1. 匿名 より:

    > OS Xのバックドアを使用し
    既存のバックドアがありそれを利用するってことかな?そうなるとそのバックドアは誰が作ったんじゃ!って話になる。しかしBitdefenderの記事を読む限り、そうではなくて新たにバックドアを仕掛けるマルウェアという話のようだ。

  2. 匿名 より:

    こんなのあるのか~。ESET入れてるし大丈夫かな。

    こういう情報あまりみかけないので助かります。