Windowsを標的としたマルウェア「Snake」がMacへ移植され、偽のFlash Playerのインストーラーにより拡散しているようです。詳細は以下から。
オランダのセキュリティ企業Fox-ITによると、SnakeやTurlaとして知られ、政府機関を狙ったWindowsプラットフォーム向けのマルウェア[1, 2]がMacへ移植(ポート)され公開されているようです。
Fox-IT uncovers Mac OS X version of the Snake espionage framework https://t.co/wwYA8pJ0in
— Fox-IT (@foxit) 2017年5月3日
Snake, also known as Turla, Uroburos and Agent.BTZ, is a relatively complex malware framework used for targeted attacks.[…]Now, Fox-IT has identified a version of Snake targeting Mac OS X.As this version contains debug functionalities and was signed on February 21st, 2017 it is likely that the OS X version of Snake is not yet operational.
Snake: Coming soon in Mac OS X flavour – Fox-IT International blog
感染経路
Macを標的としたSnakeは、偽のAdobe Flash Playerのインストーラー”Adobe Flash Player.app.zip”に同梱され、実行後に脆弱性を利用しバックドアを作成、C&Cサーバーとのやり取りを行うようで、
The Snake binary comes inside of a ZIP archive named Adobe Flash Player.app.zip which is a backdoored version of Adobe’s Flash Player installer.[…] In order for an Application to be run on OS X it has to be signed with a valid certificate issued by Apple or it would be blocked by GateKeeper (unless configured otherwise). The following, likely stolen, developer certificate was used to sign the fake Adobe Flash installer which includes the Snake binary:
Snake: Coming soon in Mac OS X flavour – Fox-IT International blog
このマルウェアはAppleのGateKeeperを回避するために、正規の開発者から盗んだと思われる証明書を使用していたため、Fox-ITはAppleにこの開発者の証明書を無効にするように通知したそうです。
対策
Mac版Snakeは現在デバッグ機能を搭載し、署名も2017年02月21日と比較的新しいため、まだ完全に動作していない可能性が高い用ですが、2017年05月03日の段階で、VirusTotalに登録されているどのウィルス検出エンジンも対応していないので、Flash Playerをインストールされる方はAdobeの公式サイトからダウンロードしたものを利用することをお勧めします。
Indicators of Compromise
VirusTotalに登録された検体
- Installdp – VirusTotal
- Install – VirusTotal
- Install Adobe Flash Player – VirusTotal
- Install Adobe Flash Player.app.zip – VirusTotal
LaunchAgentなど
- /Library/LaunchDaemons/com.adobe.update.plist
- /Library/Scripts/installd.sh
- /Library/Scripts/queue
- /var/tmp/.ur-*
- /tmp/.gdm-socket
- /tmp/.gdm-selinux
- Snake: Coming soon in Mac OS X flavour – Fox-IT International blog
コメント
もう特殊な趣味の人しかフラッシュ使わないから、ほっといても良いような。
さもなくば強制的にmac keeperとflashはインストール不可で良いじゃん。
証明書盗み出された開発者が晒されてるな。
カワイソス
これどうやって感染してるか確認するんだよ。
で、感染してたらどうやって除去するんだ。
そこ書いてないとしょうがないだろ無能。
マルウェアもマルチプラットフォームの時代か