Adobe Flash Playerのインストーラーを装い、MacにPUAやアドウェアなどをインストールするマルウェア「Mughthesec」が流行しているそうです。詳細は以下から。
Objective-SeeのpatrickさんやMalwarebytesのThomas Reedさんによると、2017年08月上旬からAdobe Flash Playerのインストーラーを装い、Macにユーザーが不要なアプリ(PUA: Potentially Unwanted Application)やアドウェア、Safari機能拡張などをインストールする「Mughthesec」というマルウェアが出現しているそうです。
Made it to blog post #32! 😍 Read: "WTF is Mughthesec!? Poking on a Piece of Undetected Adware" 👾☠️🍎 https://t.co/bVXRRXOaMo #adware #malware
— Objective-See (@objective_see) 2017年8月8日
Interestingly, googling “Mughthesec” only returned one relevant hit; a post on Apple’s online’s forums tilted “Safari does not render Gmail correctly”. Posted on August 2nd, user ‘giveen’ stated that, “Only in Safari, when this specific user logins, it does not render Gmail correctly. Only Gmail. Only in Safari.” Following another user’s suggestion, ‘giveen ‘ ran EtreCheck which noted several “unknown files:”
- ~/Library/LaunchAgents/com.Mughthesec.plist
- ~/Library/Application Support/com.Mughthesec/Mughthesec
WTF is Mughthesec!? – Objective-See
Mughthesecの被害は大学のテクニカルサポートやMacを利用する子供の親などから報告されており、実行されるとAdvanced Mac CleanerやSafe Finder、Any SearchのSafari機能拡張などがインストールされ、不要なポップアップやGoogle(Gmail)などのWebサイトに割り込んでくるそうです。
この様なマルウェア(アドウェア)は昔から存在し、Thomas Reedさんらはこれらを「OperatorMac」と呼んでいるそうですが、悪いことに今回のMughthesecはインストーラー(pkg)およびアプリへの開発者署名が全て有効になっており、VirusTotalでチェックしてみると今回の検体を検出できるウィルス検索エンジンは現在のところ無い状態になっています。
Indicators of Compromise
VirsTotalに登録された検体
- Player.dmg – VirusTotal
LaunchAgent
- ~/Library/LaunchAgents/com.Mughthesec.plist
- ~/Library/Application Support/com.Mughthesec/Mughthesec
おまけ
Objective-Seeのpatrickさんらは既にこの検体をAppleに報告したようで、Appleは2017年08月08日付けでAppleの認証を受けた開発者署名(ID)を利用しアプリの実行を抑制するGatekeeperのデータベースをアップデートしているので、詳細は不明ですがこのアップデートでMughthesecに利用されていた開発者IDが無効になっているかもしれません。
Gatekeeperのアップデート履歴
- 2016年
- 2016年02月09日 : Gatekeeper Configuration Data v86
- 2016年03月23日 : Gatekeeper Configuration Data v87
- 2016年05月17日 : Gatekeeper Configuration Data v88
- 2016年06月17日 : Gatekeeper Configuration Data v90
- 2016年07月12日 : Gatekeeper Configuration Data v91
- 2016年07月22日 : Gatekeeper Configuration Data v92
- 2016年08月09日 : Gatekeeper Configuration Data v94
- 2016年08月26日 : Gatekeeper Configuration Data v96
- 2016年09月03日 : Gatekeeper Configuration Data v97
- 2016年09月14日 : Gatekeeper Configuration Data v101
- 2016年09月22日 : Gatekeeper Configuration Data v103
- 2016年10月27日 : Gatekeeper Configuration Data v104
- 2016年12月10日 : Gatekeeper Configuration Data v105
- 2016年12月20日 : Gatekeeper Configuration Data v107
- 2017年
- 2017年01月25日 : Gatekeeper Configuration Data v108
- 2017年03月23日 : Gatekeeper Configuration Data v109
- 2017年03月29日 : Gatekeeper Configuration Data v110
- 2017年05月12日 : Gatekeeper Configuration Data v111
- 2017年06月03日 : Gatekeeper Configuration Data v112
- 2017年06月20日 : Gatekeeper Configuration Data v113
- 2017年06月30日 : Gatekeeper Configuration Data v115
- 2017年07月08日 : Gatekeeper Configuration Data v117
- 2017年07月14日 : Gatekeeper Configuration Data v118
- 2017年07月19日 : Gatekeeper Configuration Data v119
- 2017年07月26日 : Gatekeeper Configuration Data v121
- 2017年08月08日 : Gatekeeper Configuration Data v122
追記
AppleはGatekeeper v122でこのマルウェアを開発したQuoc Thinhさんの開発者ID”9G2J3967H9″で署名されたインストーラーやMach-Oファイルを無効化しています。
コメント
もう死ぬんだから死体蹴りみたいな事やめてあげろよw
クリリンの事かっ〜!!!