Adobe Flash Playerのインストーラーを装い、MacにPUAやアドウェアなどをインストールするマルウェア「Mughthesec」が流行中。

スポンサーリンク

 Adobe Flash Playerのインストーラーを装い、MacにPUAやアドウェアなどをインストールするマルウェア「Mughthesec」が流行しているそうです。詳細は以下から。

Adobe Flash Playerインストーラー for Macのアイコン

 Objective-SeeのpatrickさんやMalwarebytesのThomas Reedさんによると、2017年08月上旬からAdobe Flash Playerのインストーラーを装い、Macにユーザーが不要なアプリ(PUA: Potentially Unwanted Application)やアドウェア、Safari機能拡張などをインストールする「Mughthesec」というマルウェアが出現しているそうです。

Interestingly, googling “Mughthesec” only returned one relevant hit; a post on Apple’s online’s forums tilted “Safari does not render Gmail correctly”. Posted on August 2nd, user ‘giveen’ stated that, “Only in Safari, when this specific user logins, it does not render Gmail correctly. Only Gmail. Only in Safari.” Following another user’s suggestion, ‘giveen ‘ ran EtreCheck which noted several “unknown files:”

  • ~/Library/LaunchAgents/com.Mughthesec.plist
  • ~/Library/Application Support/com.Mughthesec/Mughthesec

WTF is Mughthesec!? – Objective-See

 Mughthesecの被害は大学のテクニカルサポートやMacを利用する子供の親などから報告されており、実行されるとAdvanced Mac CleanerSafe Finder、Any SearchのSafari機能拡張などがインストールされ、不要なポップアップやGoogle(Gmail)などのWebサイトに割り込んでくるそうです。

MughthesecとAdvanced Mac Cleaner

 この様なマルウェア(アドウェア)は昔から存在し、Thomas Reedさんらはこれらを「OperatorMac」と呼んでいるそうですが、悪いことに今回のMughthesecはインストーラー(pkg)およびアプリへの開発者署名が全て有効になっており、VirusTotalでチェックしてみると今回の検体を検出できるウィルス検索エンジンは現在のところ無い状態になっています。

MughthesecのVirusTotal結果

Mughthesecの検体やLaunchAgentなどの情報は以下の通りなので、気になる方は対象のファイルを検索してみて下さい。

Indicators of Compromise

VirsTotalに登録された検体

LaunchAgent

  • ~/Library/LaunchAgents/com.Mughthesec.plist
  • ~/Library/Application Support/com.Mughthesec/Mughthesec

おまけ

 Objective-Seeのpatrickさんらは既にこの検体をAppleに報告したようで、Appleは2017年08月08日付けでAppleの認証を受けた開発者署名(ID)を利用しアプリの実行を抑制するGatekeeperのデータベースをアップデートしているので、詳細は不明ですがこのアップデートでMughthesecに利用されていた開発者IDが無効になっているかもしれません。

Gatekeeper Configuration Data v122

Gatekeeperのアップデート履歴

  • 2016年
    1. 2016年02月09日 : Gatekeeper Configuration Data v86
    2. 2016年03月23日 : Gatekeeper Configuration Data v87
    3. 2016年05月17日 : Gatekeeper Configuration Data v88
    4. 2016年06月17日 : Gatekeeper Configuration Data v90
    5. 2016年07月12日 : Gatekeeper Configuration Data v91
    6. 2016年07月22日 : Gatekeeper Configuration Data v92
    7. 2016年08月09日 : Gatekeeper Configuration Data v94
    8. 2016年08月26日 : Gatekeeper Configuration Data v96
    9. 2016年09月03日 : Gatekeeper Configuration Data v97
    10. 2016年09月14日 : Gatekeeper Configuration Data v101
    11. 2016年09月22日 : Gatekeeper Configuration Data v103
    12. 2016年10月27日 : Gatekeeper Configuration Data v104
    13. 2016年12月10日 : Gatekeeper Configuration Data v105
    14. 2016年12月20日 : Gatekeeper Configuration Data v107
  • 2017年
    1. 2017年01月25日 : Gatekeeper Configuration Data v108
    2. 2017年03月23日 : Gatekeeper Configuration Data v109
    3. 2017年03月29日 : Gatekeeper Configuration Data v110
    4. 2017年05月12日 : Gatekeeper Configuration Data v111
    5. 2017年06月03日 : Gatekeeper Configuration Data v112
    6. 2017年06月20日 : Gatekeeper Configuration Data v113
    7. 2017年06月30日 : Gatekeeper Configuration Data v115
    8. 2017年07月08日 : Gatekeeper Configuration Data v117
    9. 2017年07月14日 : Gatekeeper Configuration Data v118
    10. 2017年07月19日 : Gatekeeper Configuration Data v119
    11. 2017年07月26日 : Gatekeeper Configuration Data v121
    12. 2017年08月08日 : Gatekeeper Configuration Data v122

追記

AppleはGatekeeper v122でこのマルウェアを開発したQuoc Thinhさんの開発者ID”9G2J3967H9″で署名されたインストーラーやMach-Oファイルを無効化しています。

コメント

  1. 匿名 より:

    もう死ぬんだから死体蹴りみたいな事やめてあげろよw

  2. 匿名 より:

    クリリンの事かっ〜!!!