実際のMacか仮想マシンかを特定し、実際のMacでのみにマルウェアをインストールする偽のFlash Playerインストーラーが発見されています。詳細は以下から。
EndgameのセキュリティエンジニアAmanda Rousseauさんが、偽のAdobe Flash Playerを装い、Macにマルウェアをダウンロードするインストーラーを新たに発見したとして、その情報をVirusTotalに公開しています。
Basic Properties
MD5 f2676edee34a7f7922b413dfb96507cd
SHA-1 c466c43a89d1d6c688fba871962da1e29ab70787
File Type Macintosh Disk ImagePlayer.dmg – VirusTotal
VirusTotalに登録された検体情報によると、このインストーラーは現在でも有効なAppleの開発者署名(Simmons Hunter : Q3XAZ247VQ)を持っているため、Gatekeeperによりブロックされることなく実行可能となっているようで、既にAvastやAVG, Sophos AVなど5つのウイルス検索エンジンが検出に対応したようですが、
Malwarebytes社のThomas ReedさんやCybereason社のAmit Serperさんなどのセキュリティ研究者によると、このインストーラーは実行された環境が実際のMacかそれとも仮想マシン上のMacかを検出し、実際のMac上でのみcurlコマンドで”bemacexpert[.]com”から別のプログラムをダウンロードするMPlayerXのインストーラーに採用されていた機能が導入されているようなので、怪しいFlash Playerのインストーラーを見つけた方は注意して下さい。
I just tried running that in a VM, and it didn't do anything, just exited. VT's behavioral info shows calls to system_profiler, so I'm guessing it's got VM detection. I'll have to roll out my bare metal machine for testing…
— Thomas Reed (@thomasareed) 2018年1月26日
Ran it against some of my tool. It's def doing shady stuff pic.twitter.com/LlzXnGeltU
— Amit Serper (@0xAmit) 2018年1月26日
コメント
偽のAdobe Flash Playerを装い
って妙な日本語だな
Flash Playerの跳梁跋扈(ちょうりょうばっこ)はまだまだ止まらない。ニコニコとウェザーニューズのアホさ加減も止まらない。
どんどん狡猾になっていくなぁ
MPlayerでも同じようなマルウェア仕込まれたよね