クロスプラットフォーム対応のマルウェア「Adwind RAT」がMacにも影響を及ぼしていることが確認される。

スポンサーリンク

 クロスプラットフォーム対応のマルウェア「Adwind RAT」がMacにも影響を及ぼしていることが確認され話題になっています。詳細は以下から。

Malwarebytes2_Anti-Malware_for_Mac_logo-icon

 数年前から開発が続けられ、2016年中旬頃から「Adwind RAT(Remote Access Tool)」として再流行しているユーザーの情報を盗み出すクロスプラットフォーム対応のマルウェアが、Macにも影響を及ぼす様になっていたと米Malwarebytesの主任研究員Thomas Reedさんがレポートしています。

A colleague referred me to an article on a piece of cross-platform malware, called Adwind RAT (short for “remote access tool”), that was going undetected.
This is often code for “this malware was written in Java,” which doesn’t necessarily mean that it actually drops a Mac payload. So I was a bit skeptical, and said so. But, hey, new malware to play with… how could I resist taking a peek?

The first thing I noticed was – surprise, surprise – the malware was written in Java. Prepared for disappointment, I grabbed a sample of the dropper from VirusTotal.

Cross-platform malware Adwind infects Mac

Adwind RATの特徴

 Adwind RATマルウェアはメールやメッセージアプリにJavaファイル(Doc-172394856.jar)として添付し流行しており、感染したPC内の情報を盗み出すそうですが、現在のところ以下の様な理由からMacで実行されるのは難しいものの、

Adwind-RAT-on-VM-Mac

  1. ファイルは.docxや.pdfなどに偽装されておらず.jarファイルとして配布されている
  2. Appleはここ数年OS X/macOSにJavaを同梱していないため、利用するにはOracleからJavaをダウンロードしインストールしなければならない
  3. Appleに認証された署名がなされていないので、Gatekeeperに止められる

これら全てをクリアすると、隠しフォルダにLaunchAgentsを作成し、Webカメラなどを操作するといった動作を取ろうとするそうです。

Adwind-RAT-Mac-LaunchAgent

However, when I looked to see what file system changes had been made, lo and behold, there was a brand new launch agent, loading an executable found in a brand new hidden folder![…]Even more interesting, as I was looking through the files that had been created, I noticed my webcam light was on. I wasn’t able to find any newly created video files, however, and could not get this behavior to repeat in subsequent tests.

Cross-platform malware Adwind infects Mac

Thomasさんは現在のところAdwind RATのMacに対する影響は少ないとよそうしていますが、メールの添付ファイルやGatekeeperの設定などには注意するようにコメントしています。