Apple、XProtectおよびMRTをアップデートし、2013年に発見されたマルウェア「OSX/Leverage」の亜種をブロック。

　AppleがXProtectおよびMRTをアップデートし、2013年に発見されたマルウェア「OSX/Leverage」の亜種をブロックしています。詳細は以下から。

　Appleは現地時間2017年07月27日、macOS/OS Xのウィルス定義データベースXProtect(関連記事)をv2093へ、マルウェアを検出＆削除を行うMalware Removal Toolのデータベースをアップデートしています(バージョンは1.19のまま)。

　今回のアップデートでXProtectに追加された”OSX.Leverage.A”はIntegoが2013年に発見したバックドア型のマルウェア「OSX/Leverage」の亜種のようで、アメリカのセキュリティ企業Volexityによると、7月上旬にジョージア国のあるメディアのWebサイトが悪意のあるユーザーにより侵害され、

Volexity recently identified a breach to the website of a well regarded media outlet in the country of Georgia. […]The malware used by the attackers appears to be a newer version of what has previously been dubbed OSX/Leverage.A and described in public blogs by Intego and AlienVault.

Real News, Fake Flash: Mac OS X Users Targeted – Volexity

このマルウェアが同梱された偽のAdobe Flash Playerアップデートが一部のユーザーに配布されてしまうという事件が発生していたそうで、このアップデーターはAppleが発行した開発者証明書で署名されており、マルウェアに感染したMacはバックドアが作成されC&Cサーバーと通信しユーザーのアカウント名やMacのシステム情報, ユーザーログなどを収集する様に開発されていたそうです。

アップデート履歴

　最新のmacOSで2016~2017年間に行われたXProtectアップデートは以下の通りで、既にいくつかのウィルス検出エンジンがこのマルウェアの検出に対応しています。

1. 2016年01月06日：XProtect v2072 (古いFlash PlayerをブロックしXProtectを更新)
2. 2016年01月16日：XProtect v2073 (Microsoft Silverlightのブロックを開始)
3. 2016年02月07日：XProtect v2074 (ブロックするマルウェアを追加)
4. 2016年02月10日：XProtect v2075 (データベースを修正)
5. 2016年03月05日：XProtect v2076 (OS X初のランサムウェアKeRangerをブロック)
6. 2016年03月29日：XProtect v2077 (マルウェアを追加)
7. 2016年04月28日：XProtect v2078 (古いFlash Playerをブロック)
8. 2016年05月18日：XProtect v2079 (古いFlash Playerをブロック)
9. 2016年06月20日：XProtect v2080 (古いFlash Playerをブロック, YARAが追加)
10. 2016年07月08日：XProtect v2081 (マルウェアを追加)
11. 2016年09月15日：XProtect v2082 (古いFlash PlayerをブロックしXProtectを更新)
12. 2016年09月20日：XProtect v2083 (macOS Sierraへ対応)
13. 2016年10月13日：XProtect v2084 (古いFlash Playerをブロック)
14. 2016年11月01日：XProtect v2085 (古いFlash Playerをブロック)
15. 2016年11月21日：XProtect v2086 (新しいマルウェアをブロック)
16. 2017年01月18月：XProtect v2087 (新しいマルウェアとSafari機能拡張をブロック)
17. 2017年02月17月：XProtect v2088 (新しいマルウェアをブロック)
18. 2017年02月23月：XProtect v2089 (新しいランサムウェアをブロック)
19. 2017年04月29月：XProtect v2090 (新しいマルウェアをブロック)
20. 2017年05月06月：XProtect v2091 (新しいトロイの木馬をブロック)
21. 2017年06月06月：XProtect v2092 (マルウェアをブロック)
22. 2017年07月27月：XProtect v2093 (マルウェアをブロック)

　XProtectは自動的にアップデートが行われますが、強制アップデートおよびGatekeeperのバージョンの確認は以下のコマンドで行うことが可能です。

• XProtectのバージョンの確認 (Yosemite以前)

defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version

• XProtectのバージョンの確認 (El Capitan以降)

defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta Version

• Gatekeeperのバージョンの確認

defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString

• XProtectなどのアップデート

sudo softwareupdate --background-critical

おまけ

　XProtectのバージョンをチェックするだけならばSQWARQのPhilさんが開発＆公開している「Critical Updates(関連記事)」アプリを使うと便利です。

• Real News, Fake Flash: Mac OS X Users Targeted – Volexity