バックドアを使用し、Macをコントロールするマルウェア「Backdoor.MAC.Eleanor」が確認されたそうです。詳細は以下から。
ルーマニアのセキュリティ企業BitdefenderによるとOS Xにバックドアを作成し、リモートでMacをコントロールするマルウェア「Backdoor.MAC.Eleanor」が確認され、同企業の研究者らがこのマルウェアを分析したレポートを公開しています。
Post Edited: New Backdoor Allows Full Access to Mac Systems, Bitdefender Warns https://t.co/wqrcXU0UpD
— BitDefenderLabs (@BitDefenderLabs) 2016年7月5日
A new piece of malware, dubbed Backdoor.MAC.Eleanor by Bitdefender researchers, exposes Apple systems to cyber-espionage and full, clandestine control from malicious third-parties.
New Backdoor Allows Full Access to Mac Systems, Bitdefender Warns
Backdoor.MAC.Eleanor
Backdoor.MAC.EleanorはEasyDoc Converterというアプリに同梱されており、このドキュメントコンバーターアプリ(とされている)アプリを使用するとインストーラースクリプトが実行され、MacにWeb Serverを設置。
EasyDoc Converter is a fast and simple file converter for OS X. Instantly convert your FreeOffice (.fof) and SimpleStats (.sst) docs to Microsoft Office (.docx) by dropping your file onto the app. EasyDoc Converter is great for employees and students looking for a simple tool for quickly convert files to the popular Microsoft format.
EasyDoc Converter for Mac
その後、Tor Hidden Serviceを構成し、Command&Controlサーバーからの命令があると悪意のある攻撃者は以下のコントロールパネルから様々な操作を行うことが可能になる様です。
- ファイルマネージャー(ファイルの編集, 消去, アップロード/ダウンロード)
- コマンドの実行
- スクリプトの実行(PHP, PERL, Python, Ruby, Java, C)
- bind/reverse Shellの接続
- シンプルなパケット生成ツール
- データベースへの接続&管理
- プロセスマネージャー
- 添付ファイルを含むEmailの送信
- Macのウェブカメラを利用した画像やビデオキャプチャ
感染経路
Backdoor.MAC.EleanorはAppleのデジタル署名を持っていないため感染経路はMac App Store経由でなくMacUpdateなどのアプリ販売/CDNサイトで、MacUpdateはこのマルウェアを含んだ「EasyDoc Converter」を既に排除しています。
This app is not digitally signed by Apple. As a good safety precaution, Bitdefender recommends downloading applications exclusively from reputable websites, and using to fend off Mac-targeting malware and other specific threats.
New Backdoor Allows Full Access to Mac Systems, Bitdefender Warns
感染の確認方法
Bitdefenderは同社のアンチウィルスアプリがこのマルウェアの検出に対応したと発表しており、VirusTotalでもClamAVやESET, Kasperskyなどがこのマルウェアの検出に対応しているのが確認できますが、
このマルウェアは以下のディレクトリおよびコンポーネントを作成するそうなので、気になる方は確認してみてください。*”.dropbox”という名前ですがDropboxとは関係ありません。
/Users/$USER/Library/.dropbox
- Tor Hidden Service
- Web Service(PHP)
- PasteBin Agent
~/Library/LaunchAgents/com.getdropbox.dropbox.integritycheck.plist
~/Library/LaunchAgents/com.getdropbox.dropbox.usercontent.plist
~/Library/LaunchAgents/com.getdropbox.dropbox.timegrabber.plist
おまけ
Patrickさんが開発しているマルウェア対策アプリ「BlockBlock」もこのマルウェアのブロックが可能だそうです。
new OS X backdoor https://t.co/WmFD3OWr6B BlockBlock easily detects/can block its three(!) persistent components 🙂 pic.twitter.com/4sexRy0S9W
— Objective-See (@objective_see) 2016年7月5日
Bitdefenderの公式サイトには更に詳細なレポートが公開されているので、興味のある方は確認してみてください。
- New Backdoor Allows Full Access to Mac Systems, Bitdefender Warns – Bitdefender Labs
- EasyDoc Converter for Mac – MacUpdate
コメント
> OS Xのバックドアを使用し
既存のバックドアがありそれを利用するってことかな?そうなるとそのバックドアは誰が作ったんじゃ!って話になる。しかしBitdefenderの記事を読む限り、そうではなくて新たにバックドアを仕掛けるマルウェアという話のようだ。
ご指摘ありがとうございます。該当箇所の表現を一部修正しました。
こんなのあるのか~。ESET入れてるし大丈夫かな。
こういう情報あまりみかけないので助かります。