偽のFlash Playerアップデーター内に潜み、Macに感染するトロイの木馬型マルウェア「OceanLotus for OS X」は多くのアンチウイルスアプリに検出されないようです。詳細は以下から。
昨年6月、中国政府機関のWindows PCだけでなくMacも標的としたトロイの木馬型マルウェア「OceanLotus」が確認され話題になりましたが、セキュリティ企業のAlienValutがこのマルウェアのサンプルを確認したところ、2016年2月8日段階でVirusTotalに登録されている55のアンチウィルス エンジンでこの検体は特定できなかったそうです。
Antivirus still not catching OceanLotus for OS X – application bundle pretending to be innocent Adobe Flash update https://t.co/pnxSIcidxY
In May 2015, researchers at Qihoo 360 published a report on OceanLotus that included details about malware targeting Chinese infrastructure. In that report, there is a description about a piece of malware that targets OS X systems. A sample of that malware was uploaded to VirusTotal a few months ago. Curiously, as of February 8th, 2016, none of the 55 anti-virus solutions used by VirusTotal are detecting the sample as malicious. As such, we thought it would be interesting to take a closer look at the OS X version of OceanLotus.
OceanLotus for OS X – an Application Bundle Pretending to be an Adobe Flash Update | AlienVault
AlienValutがこのOceanLotusの解析を行ったところ、OceanLotusは偽のAdobe Flash Playerアップデーターを介して広がり、Anti-Debugging機能とCommand&Controlサーバーによるデコード制御がなされ、アンチウィルスアプリの検出を回避しているそうで、
The decoded .en_icon file is the main Trojan. It has anti-debugging capabilities and handles the connection to the command and control servers. As we’ll discuss later, the Trojan takes advantage of several OS X specific commands and API calls, so it’s clear that this Trojan was tailor-made for OS X rather than a port from another operating system.
OceanLotus for OS X – an Application Bundle Pretending to be an Adobe Flash Update | AlienVault
Indicators of Compromise
Files used by the malware include:
- FlashUpdate.app/Contents/MacOS/EmptyApplication
- FlashUpdate.app/Contents/Resources/en.lproj/.DS_Stores
- FlashUpdate.app/Contents/Resources/en.lproj/.en_icon
The malware’s loader is encoded and it decodes itself to be able to decode other files, which are used to deploy the threat locally. This makes analysis (and the creation of protection routines) harder. When the Trojan is installed, a persistent daemon runs and performs several tasks from a command & control (C&C) server. During Intego’s laboratory tests, the C&C servers appear to be currently offline.
OceanLotus OS X Malware Disguises Itself as Adobe Flash Update | The Mac Security Blog
現在C&Cサーバーはオフラインで、IntegoなどはOSX/OceanLotusのウィルス定義ファイルをアップデートしたようですが、OceanLotusはOS X固有のコマンドとAPIを利用するように開発されており、WindowsからOS Xプラットフォームへのマルウェアの移植がより高度になってきているようなので、Flashを利用している方は偽のアップデーターには注意してください。
関連リンク
コメント
フラッシュはもういらないよ
まじで
基本的にインストールしない。
どうしても必要な場合はChromeを起動する。
ほんと、Flashいらないな。でも、未だにFlash必要なサイトはある。
サイト構成自体にFlash使ってるとことかあるし。
MacにFlash入れてないわ
Flash無いと見られないサイトはほとんどあきらめてるな
Flashないと支障出るサイトが結構あるから入れてるけど、そろそろ消そうかなぁ。。
ウェザーニューズはいつまでああなんだろう
オールFlashのサイトなんてもはや化石