AppleがmacOSのウィルス定義データベース「XProtectv2102」をリリースしています。詳細は以下から。
Appleは現地時間2019年04月18日、macOS/OS Xのウィルス定義データベースXProtectをv2102へアップデートし、今年02月に報告された、Windowsの実行ファイルを利用して、macOSのGatekeeperをバイパスする「TrojanSpy.MacOS.Winplyer」をブロックしています。
private rule PE
{
meta:
description = "private rule to match PE binaries"
condition:
uint16(0) == 0x5a4d and uint32(uint32(0x3C)) == 0x4550
}
rule XProtect_MACOS_d1e06b8
TrojanSpy.MacOS.Winplyerは通常macOSでは実行できない”.exe”ファイルをMono(.NET)フレームワークを利用して起動させペイロードを実行するため、AppleのGatekeeperのチェックをすり抜けてMacの情報を収集したりアドウェアをダウンロードすることが可能だとして、Trend Microなどが警告していました。
The signature that utilizes this "PE" rule is named: XProtect_MACOS_d1e06b8.
It will detect 'TrojanSpy.MacOS.Winplyer' (discussed a few months ago: "Windows App Runs on Mac, Downloads Info Stealer and Adware": https://t.co/ru9XkwWKFt) pic.twitter.com/6U4nNVQ8pe
— patrick wardle (@patrickwardle) 2019年4月19日
Appleは今回のXProtectアップデートでTrojanSpy.MacOS.Winplyerに対処したほか、Gatekeeperデータベースをv165へアップデートしているので、興味のある方は以下の方法でチェックしてみてください。
おまけ
XProtectやGatekeeper, MRTは順次ロールアウトされ自動的にアップデートが行われますが、強制アップデートやGatekeeper/MRTのバージョンの確認は以下のコマンドで行うことが可能です。
- XProtectのバージョンの確認 (Yosemite以後)
defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version
defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta Version
defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString
softwareupdate -l --include-config-data
softwareupdate -ia --include-config-data
sudo softwareupdate --background-critical
コメント