実際のMacか仮想マシンかを特定し、実際のMacでのみマルウェアをインストールする偽のFlash Playerインストーラーが発見される。

スポンサーリンク

 実際のMacか仮想マシンかを特定し、実際のMacでのみにマルウェアをインストールする偽のFlash Playerインストーラーが発見されています。詳細は以下から。

Adobe Flash Playerインストーラー for Macのアイコン

 EndgameのセキュリティエンジニアAmanda Rousseau‏さんが、偽のAdobe Flash Playerを装い、Macにマルウェアをダウンロードするインストーラーを新たに発見したとして、その情報をVirusTotalに公開しています。

偽のFlash Playerインストーラー

Basic Properties
MD5 f2676edee34a7f7922b413dfb96507cd
SHA-1 c466c43a89d1d6c688fba871962da1e29ab70787
File Type Macintosh Disk Image

Player.dmg – VirusTotal

 VirusTotalに登録された検体情報によると、このインストーラーは現在でも有効なAppleの開発者署名(Simmons Hunter : Q3XAZ247VQ)を持っているため、Gatekeeperによりブロックされることなく実行可能となっているようで、既にAvastやAVG, Sophos AVなど5つのウイルス検索エンジンが検出に対応したようですが、

仮想マシンを特定するAdobe Flash Playerのインストーラー

Malwarebytes社のThomas ReedさんやCybereason社のAmit Serperさんなどのセキュリティ研究者によると、このインストーラーは実行された環境が実際のMacかそれとも仮想マシン上のMacかを検出し、実際のMac上でのみcurlコマンドで”bemacexpert[.]com”から別のプログラムをダウンロードするMPlayerXのインストーラーに採用されていた機能が導入されているようなので、怪しいFlash Playerのインストーラーを見つけた方は注意して下さい。

コメント

  1. 匿名 より:

    偽のAdobe Flash Playerを装い

    って妙な日本語だな

  2. 匿名 より:

    Flash Playerの跳梁跋扈(ちょうりょうばっこ)はまだまだ止まらない。ニコニコとウェザーニューズのアホさ加減も止まらない。

  3. 匿名 より:

    どんどん狡猾になっていくなぁ

  4. 匿名 より:

    MPlayerでも同じようなマルウェア仕込まれたよね