Appleが偽のシマンテックブログから発見されたトロイの木馬「OSX/Proton」を含むアプリの開発者署名をGatekeeperで無効化しています。詳細は以下から。
昨日、セキュリティ研究社のnoarさんらがシマンテックの公式ブログそっくりの偽ブログにトロイの木馬「OSX/Proton」が同梱された「Symantec Malware Detector」というシマンテック製でない偽のアプリが配布されていたことを確認し、Googleや米Malwarebytesなどが現在対応を始めていますが、
システム権限を求めるSymantec Malware Detector
MalwarebytesのThomas Reedさんによると、このトロイの木馬は今年10月にドイツEltima Softwareのサーバーを乗っ取り、「Elmedia Player」と「Folx」に同梱された「Proton.C」と同様に一度root権限を手にした後、全てのttyでroot権限を利用できるようsudoersファイルを編集し”tty_tickets”を無効にする機能などがあるそうで、
Watch out for fake news about a new variant of CoinThief, being spread by a site pretending to be a Symantec blog. The tool it promotes to scan for CoinThief, named Symantec Malware Detector, is actually malware itself. https://t.co/Svx0K8XC0h
— Thomas Reed (@thomasareed) 2017年11月20日
In addition to these files, the /private/etc/sudoers file will have been modified. The following line will have been added to the end:
Defaults !tty_ticketsThat line should be removed from the sudoers file.
OSX.Proton spreading through fake Symantec blog – Malwarebytes Labs
このアプリには日本時間2017年11月20日時点で有効な開発者Sverre Husebyの署名がされていましたが、幸いなことに現在(21日時点)でAppleはこの署名を無効化したようです。
Fortunately, Apple is aware of this malware and has revoked the certificate used to sign the malware. This will prevent future infections by the Symantec Malware Detector. Revoking the certificate will not, by itself, do anything to protect a machine that is already infected.
OSX.Proton spreading through fake Symantec blog – Malwarebytes Labs
おまけ
もし一度でもこのアプリを起動し、同梱されたProtonが起動された場合は以下のデーモンが作成されており、「Malwarebytes for Mac」は今回のProtonの亜種の検出にも対応したそうですが、sudoersファイルについてはユーザー自身が対処しなければならないので、Malwarebytesアプリで感染をチェックし感染が確認された場合はユーザー自身かシステム管理者の方に対処してもらうことをお勧めします。
- /Library/LaunchAgents/com.apple.xpcd.plist
- /Library/.cachedir/
- /Library/.random/
- OSX.Proton spreading through fake Symantec blog – Malwarebytes Labs
コメント