FirefoxやOnyXなどに付随し、他人のMacで仮想通貨のマイニングを行うマルウェア「OSX/CreativeUpdater」はアクティビティモニタの起動を監視する。

MacUpdateが発表したハッキング被害 セキュリティ
記事内に広告が含まれています。
スポンサーリンク

 FirefoxやOnyXなどに付随し、他人のMacで仮想通貨のマイニングを行うマルウェア「OSX/CreativeUpdater」はアクティビティモニタの起動を監視しているそうです。詳細は以下から。


 Mac専用のアプリ配布&ダウンロードサイト「MacUpdate」は現地時間2018年02月02日、02月01日に同Webサイトがハッキング被害に遭い、Firefoxを配布している”mozilla.net”やOnyXやDeeperを配布している”titanium-software.fr”へのリンクが書き換えられ、悪意のあるユーザーのWebサイトへ誘導され、Bitcoinのマイニング機能を搭載したマルウェアOSX/CreativeUpdaterが一緒にダウンロードされた可能性があると発表しましたが、

MacUpdateが発表したハッキング被害

Jess-MacUpdate EDITOR Feb 01, 2018
If you have installed-and-run Firefox 58.0.2 since 1 February 2018, please note that we have investigated a suspicious link to a Firefox update posted and found it to be malicious – we have removed the link.

Firefox for Mac – MacUpdate

このマルウェアの解析を行っているObjective-SeeのPatrickさんによると、”OSX/CreativeUpdater”にはMacで起動しているプロセスやCPU/メモリ/ネットワーク使用率を表示する「アクティビティモニタ」アプリが起動した場合に機能を停止するステルス機能が実装されているそうです。

while [ 1 ]
do
if (ps aux | grep "Activity Monitor" | grep -v grep > /dev/null)
then
launchctl unload -w ~/Librrary/LaunchAgents/MacOS.plist
elif ! (ps aux | grep sysmdworker | grep -v grep > /dev/null)
fi
sleep 5
done

 ステルス機能によりユーザーは自身のMacが仮想通貨のマイニングに利用されプロセスが圧迫されても「アクティビティモニタ」アプリを起動するとマイニングが停止されるためMacの異変に気づきにくいと思われるので、MacUpdate経由で何かのアプリをダウンロードされた方はMalwarebytes for Macこちらの方法で感染のチェックをする事をお勧めします。

macOS 10.13 High Sierraのアクティビティモニタ

コメント

  1. 匿名 より:

    アクティビティモニタから逃れるソースコードを掲載しておりますが、セキュリティ上問題ないと判断した上の公開でしょうか。

    • 匿名 より:

      このコード、未公開の脆弱性を利用したわけでも、rootkitみたいな厄介なものも使ってないし、みんなが驚くような画期的手法でもない、ごく簡単なものだよ。
      スクリプトを書ける人なら誰でもすぐに思いつく程度の初歩的なコードに問題はないかと。

    • 匿名 より:

      psコマンドでプロセス一覧を見て、その中からgrepコマンドでアクティビティモニタがあればMacOS.plistをアンロードするってだけだよ
      誰でも(スクリプトを書ける人なら誰でも)思いつく代物だね

  2. 匿名 より:

    常にアクティビティモニタを立ち上げている俺様には被害なし!

タイトルとURLをコピーしました