MacRansomと同じ開発者によるMac向けスパイウェア「MacSpy」が確認されたそうです。詳細は以下から。
先週、Macを狙うサービスとしてのランサムウェア(RaaS)「MacRansome」が発見されましたが、同じMalwarebyteによると同じ開発者によるスパイウェア「MacSpy」がBleeping ComputerやAlienVaultによって確認されたそうです。
There are 2 new #Malware-as-a-Service offerings for #Macs – #MacSpy & #MacRansom | https://t.co/k9QBNdtDxg by @thomasareed #cybersecurity pic.twitter.com/MAjCAclHbb
— Malwarebytes (@Malwarebytes) 2017年6月14日
MacSpy is advertised as the “most sophisticated Mac spyware ever”, with the low starting price of free. While the idea of malware-as-a-service (MaaS) isn’t a new one with players such as Tox and Shark the game, it can be said that MacSpy is one of the first seen for the OS X platform.
New Mac Malware-as-a-Service offerings – Malwarebytes Labs
MacSpyはMacRansomと同じTORネットワーク上で販売されていたそうで、サンプルを手に入れたAlienVaultによると、MacSpyはインストールされたMacのスクリーンショットやブラウザデータなど以下の情報を収拾し定期的にC&Cサーバーに送信されるように開発されているそうです。
- 30秒毎にスクリーンショットを撮影
- マイクロフォンから音声を録音
- キーロガー機能(攻撃者が管理者パスワードを取得している場合)
- クリップボードの履歴
- iCloud Photos
- ブラウザデータ
MacSpyの検体やLaunchAgentは以下の通りで、このスパイウェアやランサムウェアを販売していたサイトは既に消えており、Malwarebytes for MacはMacSpyおよびMacRansomの検出に対応しているそうなので、気になる方はチェックしてみて下さい。
Indicators of Compromise
VirsTotalに登録された検体
LaunchAgent
- ~/Library/LaunchAgents/com.apple.webkit.plist
- ~/Library/.DS_Stores/updated
- MacSpy: OS X RAT as a Service – AlienVault
- New Mac Malware-as-a-Service offerings – Malwarebytes Labs
- MacRansom and MacSpy Malware-as-a-Service Portals Put Mac Users on Alert – Bleeping Computer
コメント