Apple、偽のシマンテックブログから発見されたトロイの木馬「OSX/Proton」を含むアプリの開発者署名をGatekeeperで無効化。

スポンサーリンク

 Appleが偽のシマンテックブログから発見されたトロイの木馬「OSX/Proton」を含むアプリの開発者署名をGatekeeperで無効化しています。詳細は以下から。

Symantec Malware Detectorのアイコン

 昨日、セキュリティ研究社のnoarさんらがシマンテックの公式ブログそっくりの偽ブログにトロイの木馬「OSX/Proton」が同梱された「Symantec Malware Detector」というシマンテック製でない偽のアプリが配布されていたことを確認し、Googleや米Malwarebytesなどが現在対応を始めていますが、

Symantec Malware Detector

システム権限を求めるSymantec Malware Detector

MalwarebytesのThomas Reedさんによると、このトロイの木馬は今年10月にドイツEltima Softwareのサーバーを乗っ取り、「Elmedia Player」と「Folx」に同梱された「Proton.C」と同様に一度root権限を手にした後、全てのttyでroot権限を利用できるようsudoersファイルを編集し”tty_tickets”を無効にする機能などがあるそうで、

In addition to these files, the /private/etc/sudoers file will have been modified. The following line will have been added to the end:

Defaults !tty_tickets

That line should be removed from the sudoers file.

OSX.Proton spreading through fake Symantec blog – Malwarebytes Labs

このアプリには日本時間2017年11月20日時点で有効な開発者Sverre Husebyの署名がされていましたが、幸いなことに現在(21日時点)でAppleはこの署名を無効化したようです。

AppleがGatekeeperでSymantec Malware Detector.appの開発者を排除

Fortunately, Apple is aware of this malware and has revoked the certificate used to sign the malware. This will prevent future infections by the Symantec Malware Detector. Revoking the certificate will not, by itself, do anything to protect a machine that is already infected.

OSX.Proton spreading through fake Symantec blog – Malwarebytes Labs

スポンサーリンク

おまけ

 もし一度でもこのアプリを起動し、同梱されたProtonが起動された場合は以下のデーモンが作成されており、「Malwarebytes for Mac」は今回のProtonの亜種の検出にも対応したそうですが、sudoersファイルについてはユーザー自身が対処しなければならないので、Malwarebytesアプリで感染をチェックし感染が確認された場合はユーザー自身かシステム管理者の方に対処してもらうことをお勧めします。

Malwarebytes for Macの画像

  • /Library/LaunchAgents/com.apple.xpcd.plist
  • /Library/.cachedir/
  • /Library/.random/