Adobe Flash Playerのアップデートを装い、Macに不要なアプリをインストールさせる新しいマルウェアが出現。

スポンサーリンク

 Adobe Flash Playerのアップデートを装い、Macに不要なアプリをインストールさせる新しいマルウェアが広まっているそうです。詳細は以下から。

Adobe-Creative-Cloud-Hero

 今年2月、Adobe Flash Playerのアップデートを装い、Macに不要なアプリやユーザーを脅すスケアウェアをインストールするマルウェアが発見されていましたが、Integoはこのマルウェアが利用していたのとは別のインストーラーが出現し広まっていると報告しています。

The in-the-wild attack has been spread in the form of a Mac Package installer .pkg file, also known a flat package, and has been signed with a legitimate Developer ID certificate — effectively tricking OS X’s built-in Gatekeeper security to believe that the files can be trusted and are not malicious.

Mac Users Attacked Again by Fake Adobe Flash Update | The Mac Security Blog

スポンサーリンク

新しいマルウェアインストーラー

 新しいマルウェアインストーラーはOSX/InstallCoreの亜種で、12日時点でも有効なAppleのデベロッパー署名(MDK7FNV856, Nikolay Nikolay Lastovka)を持っており、Gatekeeperをバイパスすることが可能。

Adobe-Flash-Player-Volume-info

At the time of writing, the compromised Apple developer ID certificate (MDK7FNV856, in the name of one Nikolay Nikolay Lastovka) has not been revoked.

 以前のインストーラーと違い、Adobe Flash Playerのアップデーターと不要なアプリをインストールするインストーラーが同時にダウンロードされるようで、ユーザーはAdobe Flash Playerに加えMegaBackupやZipCloud, MacKeeperといった不要なアプリも同時にインストールされてしますそうです。

Fake-Adobe-Flash-Player-Installer

As a result, victims may find that their OS X computers have had a number of potentially unwanted programs (PUPs) installed on their systems. Intego researchers report that third-party apps they have seen being installed by the fake Adobe Flash update include MegaBackup, ZipCloud, and MacKeeper.

 Sophos,やMcAfee, Dr Solomonなどを経て、現在はIntegoで働くセキュリティ研究者のGraham Cluleyさんによると、このインストーラーはDMGボリューム外やDMGボリュームがアンマウントされている場合は”Missing parameters”というエラーを出し動かないようですが、もしFlash Playerをアップデートする際はAdobeの公式サイトから正しいインストーラーをダウンロードし利用することを勧めています。

関連リンク

コメント

  1. 匿名 より:

    MacKeeperの猛攻が止まらないな。

  2. 匿名 より:

    有名どころ以外に、デフォルト検索エンジンを変えて、画面いっぱいに広告にして仲間をサイレントインストールしてしまう“Vittaravia”とかいうやつも、偽Flashバナーから入るよ。

  3. 匿名 より:

    またMackeeperかよ

  4. 匿名 より:

    最近のFlashはドス黒い赤色だから、こんな鮮やかな赤色には騙されないよ