仮想通貨レートをメニューバーに表示する「CoinTicker」というアプリが、2種類のバックドアをMacに作成するマルウェアだったことが確認される。

Malwarebytes for Macが検出したMacのバックドア セキュリティ
記事内に広告が含まれています。
スポンサーリンク

 仮想通貨のレートをメニューバーに表示する「CoinTicker」というアプリが、2種類のバックドアをMacに作成するマルウェアだったことが確認されたそうです。詳細は以下から。

CoinTicker

 米セキュリティ企業Malwarebytes LabsのThomas Reedさんは現地時間2018年10月29日、同社のフォーラムでID:1vladimirさんという方がMacのメニューバーにBitconやEtherium, Moneroなどの仮想通貨レートを表示する「CoinTicker」というサードパーティ製アプリが怪しいプロセスを実行しているという報告を受け調べたところ、このアプリがMacに2種類のバックドアEvilOSX」と「EggShellをインストールしていたことが確認されたとして、ユーザーに対し注意を促しています。

Although this functionality seems to be legitimate, the app is actually up to no good in the background, unbeknownst to the user. Without any signs of trouble, such as requests for authentication to root, there’s nothing to suggest to the user that anything is wrong.
When launched, however, the app downloads and installs components of two different open-source backdoors: EvilOSX and EggShell.

Mac cryptocurrency ticker app installs backdoors – Malwarebytes Labs

 EvilOSXとEggShellは両方ともGitHubに公開されているMacやLinuxをターゲットとした古いオープンソースのバックドア(Evil RAT)ですが、CoinTickerはアプリをインストール&起動すると、これらのバックドアをダウンロードし、外部のCommand&Controlサーバーとの接続を始めるそうで、バックドアが作成されたMacは攻撃者がroot権限を取得していなくても外部から様々な操作が可能となります。

CoinTicker

One interesting note about this malware is that none of it requires anything other than normal user permissions. Root permissions are not needed. There is often an erroneous over-emphasis on malware’s need for root privileges, but this malware is a perfect demonstration that malware does not need such privileges to have high potential for danger.

Mac cryptocurrency ticker app installs backdoors – Malwarebytes Labs

 Thomasさんは当初このCoinTickerアプリがHandbrakeTransmissionが被害に遭ったようなサプライチェーン攻撃を受けたと考えていたそうですが、このアプリはリリース当初から正当なアプリではなかったようで、このアプリが配布されているサイトは今年の07月13日にドメインが取得され、現在もアクセス可能となっているそうです。

Virustotal cointicker

 米MalwarebytesはすでにVirusTotalに検体を公開し、同社のMalwarebytes for Macはこのアプリの検出に対応しているので、気になる方はチェックしてみてください。

Malwarebytes for Macが検出したMacのバックドア

Indicators of Compromise

  • /private/tmp/.info.enc
  • /private/tmp/.info.py
  • /private/tmp/.server.sh
  • /private/tmp/espl
  • ~/Library/LaunchAgents/.espl.plist
  • ~/Library/LaunchAgents/com.apple.[random string].plist
  • ~/Library/Containers/.[random string]/[random string]

Macを標的とした仮想通貨関連のマルウェア

コメント

  1. 匿名 より:

    欲は常につけ込まれる対象であるな

  2. 匿名 より:

    話は逸れるんだけど、コンピュータ屋からするとこのへんのcyrptoに投資してる人の気が知れない……怖すぎる……

タイトルとURLをコピーしました