偽のFlash Playerアップデーター内に潜み、Macに感染するトロイの木馬型マルウェア「OceanLotus for OS X」は多くのアンチウイルスアプリに検出されないもよう。

スポンサーリンク

 偽のFlash Playerアップデーター内に潜み、Macに感染するトロイの木馬型マルウェア「OceanLotus for OS X」は多くのアンチウイルスアプリに検出されないようです。詳細は以下から。

Adobe Flash Playerインストーラー for Macのアイコン

 昨年6月、中国政府機関のWindows PCだけでなくMacも標的としたトロイの木馬型マルウェア「OceanLotus」が確認され話題になりましたが、セキュリティ企業のAlienValutがこのマルウェアのサンプルを確認したところ、2016年2月8日段階でVirusTotalに登録されている55のアンチウィルス エンジンでこの検体は特定できなかったそうです。

In May 2015, researchers at Qihoo 360 published a report on OceanLotus that included details about malware targeting Chinese infrastructure. In that report, there is a description about a piece of malware that targets OS X systems. A sample of that malware was uploaded to VirusTotal a few months ago. Curiously, as of February 8th, 2016, none of the 55 anti-virus solutions used by VirusTotal are detecting the sample as malicious. As such, we thought it would be interesting to take a closer look at the OS X version of OceanLotus.

OceanLotus for OS X – an Application Bundle Pretending to be an Adobe Flash Update | AlienVault

 AlienValutがこのOceanLotusの解析を行ったところ、OceanLotusは偽のAdobe Flash Playerアップデーターを介して広がり、Anti-Debugging機能とCommand&Controlサーバーによるデコード制御がなされ、アンチウィルスアプリの検出を回避しているそうで、

OceanLotus-C-and-C-Server

The decoded .en_icon file is the main Trojan. It has anti-debugging capabilities and handles the connection to the command and control servers. As we’ll discuss later, the Trojan takes advantage of several OS X specific commands and API calls, so it’s clear that this Trojan was tailor-made for OS X rather than a port from another operating system.

OceanLotus for OS X – an Application Bundle Pretending to be an Adobe Flash Update | AlienVault

Indicators of Compromise

Files used by the malware include:

  • FlashUpdate.app/Contents/MacOS/EmptyApplication
  • FlashUpdate.app/Contents/Resources/en.lproj/.DS_Stores
  • FlashUpdate.app/Contents/Resources/en.lproj/.en_icon

The malware’s loader is encoded and it decodes itself to be able to decode other files, which are used to deploy the threat locally. This makes analysis (and the creation of protection routines) harder. When the Trojan is installed, a persistent daemon runs and performs several tasks from a command & control (C&C) server. During Intego’s laboratory tests, the C&C servers appear to be currently offline.

OceanLotus OS X Malware Disguises Itself as Adobe Flash Update | The Mac Security Blog

 現在C&Cサーバーはオフラインで、IntegoなどはOSX/OceanLotusのウィルス定義ファイルをアップデートしたようですが、OceanLotusはOS X固有のコマンドとAPIを利用するように開発されており、WindowsからOS Xプラットフォームへのマルウェアの移植がより高度になってきているようなので、Flashを利用している方は偽のアップデーターには注意してください。

関連リンク

コメント

  1. Apple7743 より:

    フラッシュはもういらないよ
    まじで

  2. Apple7743 より:

    基本的にインストールしない。
    どうしても必要な場合はChromeを起動する。

  3. Apple7743 より:

    ほんと、Flashいらないな。でも、未だにFlash必要なサイトはある。
    サイト構成自体にFlash使ってるとことかあるし。

  4. Apple7743 より:

    MacにFlash入れてないわ
    Flash無いと見られないサイトはほとんどあきらめてるな

  5. Apple7743 より:

    Flashないと支障出るサイトが結構あるから入れてるけど、そろそろ消そうかなぁ。。

  6. Apple7743 より:

    ウェザーニューズはいつまでああなんだろう
    オールFlashのサイトなんてもはや化石