今週、Mac 固有の 2 つ目のマルウェアが発見されました。これは、macOS キーチェーンに保存されているパスワードを漏洩する可能性があります。しかし、繰り返しになりますが、Apple の Gatekeeper セキュリティは、適切に設定されていれば、攻撃の成功を阻止します。
セキュリティ会社 ESET の研究者は、未知のソースからの OS X マルウェアの新種を調査し、いわゆる「」の詳細を発表しました。OSX/キードナップ" パッケージ。
このマルウェアは、.zip 圧縮アーカイブとして配布され、テキスト ファイルまたはアイコンが付いた JPG グラフィックとして偽装されたパッケージが含まれています。ただし、ファイル名の末尾にはスペースがあり、デフォルトでは、macOS ターミナルで Mach-O 実行可能ファイルが開きます。
ファイルをダブルクリックすると、ターミナル アイコンがドックに表示され、すぐに閉じます。この時点で、Gatekeeper がアクティブである場合、セキュリティ メカニズムは、ファイルが未確認の開発者からのものであることを示す警告をユーザーに表示し、起動を阻止します。
Gatekeeper がソースに関係なくすべてのソフトウェアを実行するようにユーザーによって設定されている場合、マルウェアは再起動のたびに実行されるバックドア コンポーネントをダウンロードして実行し、ユーザーがクリックした Mach-O 実行可能ファイルをおとりのグラフィックまたはテキスト ファイルに置き換えます。をクリックし、おとりドキュメントをプレビューで開きます。
マルウェアは、別のアプリケーションが起動するまで待機し、ユーザー認証情報を求めるダイアログをポップアップ表示することで、root アクセスを求めます。
root アクセスが付与されると、コマンド アンド コントロール サーバーの所有者は OSX/Keydnap を使用して、ユーザーのキーチェーンの復号キーを探し出し、保存されているパスワードをアップロードできます。キーチェーンに保存されるパスワードには、システム パスワードのほか、銀行の資格情報、Gmail パスワード、Amazon ログイン情報などのインターネット ベースのサービスのログイン情報が含まれます。
Gatekeeper を補足するために、Little Snitch のようなインターネット接続監視アプリケーションを使用して、インターネットの送受信を調べ、望ましくない送信 (この場合はマルウェア コンポーネントのダウンロードなど) をブロックできます。 BlockBlock に似たユーティリティは、マルウェア インストーラーにとって不可欠な永続コンポーネントのインストールを継続的に監視できます。
OSX/Keydnap パッケージの暴露は、この 1 週間で 2 回目の Mac マルウェアの暴露です。 7月6日、バックドア.マック.エレノアこれも、適切に設定された Apple 提供のセキュリティ ソフトウェアを使用するか、ユーザーが攻撃ベクトルを認識することで簡単に防ぐことができます。 AppleInsider は、Apple の Xprotect が更新されたかどうかを確認するためにマルウェアのサンプルを入手できませんでした。
ESETの研究者らは、マルウェアがどのように拡散するのかは分からないが、スパムメールの添付ファイルである可能性が高いと述べている。さらに、活動中の感染者数もカウントされていません。調査中に見つかったおとり画像は、セキュリティ研究者がマルウェアの標的になっている可能性を示唆しています。
Isamu 
Isamu 
Isamu