400台近くのMacが少なくとも5年間マルウェアに感染し続け、Webカメラやキーボード入力などの情報が流出しているという研究結果が公開されたそうです。詳細は以下から。
現在(現地時間07月22~27日まで)、アメリカのラスベガスでセキュリティ研究者向けのカンファレンスBlack Hatが開催されていますが、このカンファレンスの中で元NSAなどで脆弱性の解析を担当し、現在はSynackのR&D部門でディレクターを務めるPatrick Wardleさんの研究が注目を集めているそうです。
stoked to present FruitFly.B at @BlackHatEvents & @defcon. Mahalo @thomasareed (analysis of variant .A) & @noarfromspace for sharing hash
— patrick wardle (@patrickwardle) 2017年7月24日
A mysterious piece of malware that gives attackers surreptitious control over webcams, keyboards, and other sensitive resources has been infecting Macs for at least five years. The infections—known to number nearly 400 and possibly much higher—remained undetected until recently and may have been active for almost a decade.
“Perverse” malware infecting hundreds of Macs remained undetected for years – Ars Technica
数年間見つからなかったFruitflyの亜種
Wardleさんは2017年01月に米Malwarebytesが発見したバックドア型マルウェア「Fruitfly(Quimitchin)」のC&Cサーバーを特定し、その亜種であるFruitfly.Bを特定&解析を行ったところ、現在もC&Cサーバーと通信しているFruitfly.Bに感染したMacはアメリカを中心に400台以上存在し、これらのMacは5~10年間このマルウェアに感染したまま利用され続けているようで、
Wrote C&C server to analyze-virus for @BlackHatEvents/@defcon talk. Took over a C&C addr & 100s (90% in ): 'hi, task us'now involved pic.twitter.com/DxS1y8KYZB
— patrick wardle (@patrickwardle) 2017年7月21日
Arsのインタビューによると、このマルウェアはランサムウェアをインストールしたり、銀行口座の情報を収集するなど金銭目的のために作られたものではなく、目的は分からないもののキーボード入力やWebカメラなどの情報を集められていたそうで、ここ最近になりようやく各セキュリティ対策ソフトで検出可能になったそうです。
Wardleさんは警察当局にこのことを通報し、現在利用されていたC&Cサーバーのドメインは全て利用できなくなっているそうで、Arsはこの事についてAppleにコメントを求めたようですが、現在のところ返事は無いそうです。
コメント
NSAの自作自演