Adobe Flash Playerのアップデートを装い、Macに不要なアプリをインストールさせる新しいマルウェアが出現。

　Adobe Flash Playerのアップデートを装い、Macに不要なアプリをインストールさせる新しいマルウェアが広まっているそうです。詳細は以下から。

　今年2月、Adobe Flash Playerのアップデートを装い、Macに不要なアプリやユーザーを脅すスケアウェアをインストールするマルウェアが発見されていましたが、Integoはこのマルウェアが利用していたのとは別のインストーラーが出現し広まっていると報告しています。

The in-the-wild attack has been spread in the form of a Mac Package installer .pkg file, also known a flat package, and has been signed with a legitimate Developer ID certificate — effectively tricking OS X’s built-in Gatekeeper security to believe that the files can be trusted and are not malicious.

Mac Users Attacked Again by Fake Adobe Flash Update | The Mac Security Blog

新しいマルウェアインストーラー

　新しいマルウェアインストーラーはOSX/InstallCoreの亜種で、12日時点でも有効なAppleのデベロッパー署名(MDK7FNV856, Nikolay Nikolay Lastovka)を持っており、Gatekeeperをバイパスすることが可能。

At the time of writing, the compromised Apple developer ID certificate (MDK7FNV856, in the name of one Nikolay Nikolay Lastovka) has not been revoked.

　以前のインストーラーと違い、Adobe Flash Playerのアップデーターと不要なアプリをインストールするインストーラーが同時にダウンロードされるようで、ユーザーはAdobe Flash Playerに加えMegaBackupやZipCloud, MacKeeperといった不要なアプリも同時にインストールされてしますそうです。

As a result, victims may find that their OS X computers have had a number of potentially unwanted programs (PUPs) installed on their systems. Intego researchers report that third-party apps they have seen being installed by the fake Adobe Flash update include MegaBackup, ZipCloud, and MacKeeper.

　Sophos,やMcAfee, Dr Solomonなどを経て、現在はIntegoで働くセキュリティ研究者のGraham Cluleyさんによると、このインストーラーはDMGボリューム外やDMGボリュームがアンマウントされている場合は”Missing parameters”というエラーを出し動かないようですが、もしFlash Playerをアップデートする際はAdobeの公式サイトから正しいインストーラーをダウンロードし利用することを勧めています。

関連リンク

• Mac Users Attacked Again by Fake Adobe Flash Update – The Mac Security Blog