感染したMacのユーザーデータを盗み出すトロイの木馬「OSX.Proton」を配布する偽のシマンテックブログが確認され、セキュリティ関係者らが注意を促しています。詳細は以下から。
今年5月、トランスコーダー「HandBrake」のWebサイトがハッキングされ、ユーザーのキーチェーンや1Password, ブラウザデータなどを盗み出すトロイの木馬「OSX.Proton」に感染した「HandBreak for Mac」が世界中に配布[1, 2]、CodaやTransmitなどを開発している「Panic」がソースコードを盗まれるなどの被害に遭いAppleが緊急の対応をしましたが、
インストールに管理者権限を求めるProtonに感染されたHandBreak for Mac
noarさんら複数のセキュリティ関係者によると、このOSX.Protonの亜種と思われるトロイの木馬が「Symantec Malware Detector」というアプリ内に潜み配布されていたことが確認されたそうです。
A fake Symantec web site that distributes OSX.Proton, certificate by Comodo instead of Symantec CA, pretty sure the website show https://t.co/D2fZJfxIUo using some nginx magic! NSFW: https://t.co/NYZn01iJ9p
— noar (@noarfromspace) 2017年11月19日
Beware… there's a new variant of OSX.Proton out there, spreading via a fake Symantec blog! (Nice find, @noar!) https://t.co/Vwv89VPsCd
— Thomas Reed (@thomasareed) 2017年11月20日
New OSX.Proton sample on VirusTotal: https://t.co/FvjpLZfzXH
— noar (@noarfromspace) 2017年11月19日
感染源
OSX.Protonの配布元はシマンテックの公式ブログと全く同じデザインのブログで、このブログは本物のシマンテックブログが利用しているSymantec CAではなくComodo CAのSSL署名を利用し、ブログには「シマンテックがMacの0-day脆弱性を利用してビットコインなどを盗む”OSX/CoinThief”マルウェアを発見しました」という記事が掲載されてpろ、
クリックで拡大
ブログ内には”OSX/CoinThief”マルウェアを特定できる「Symantec Malware Detector」というツール(アプリ)をダウンロードできるリンクが掲載され、この偽ブログやアプリは2017年11月20日13時現在もアクセスできる状態になっています。
OSX/Protonに感染したSymantec Malware Detector
VirusTotalに登録された検体情報によると、新しいOSX/Protonを同梱した「Symantec Malware Detector」アプリは昨日から3つの検体が、偽のブログは現地時間11月17日頃から公開され、既にGoogleはWebサイトの対応を始めているようですが、
OSX/Protonの方はまだ特定できるウィルス検出エンジンが無いのため、Mac/ビットコインユーザーの方は注意して下さい。
- Symantec Malware Detector.app.zip – VirusTotal
- Symantec_Malware_Detector_4.7_mac.zip(1) – VirusTotal
- Symantec_Malware_Detector_4.7_mac.zip(2) – VirusTotal
コメント