Mac を狙う新しいマルウェアが出回っています。

2012 年の前半は、Mac ベースの脅威の件数が増加したことが確認されています。OSX.Flashback.K という亜種が出現したかと思うと、すぐさま OSX.Sabpab、OSX.Macontrol と新種が続きました。

2012 年の後半が始まった今、また新しい Mac 用マルウェアが登場しました。OSX.Crisis です。

OSX.Crisis は、侵入先の OSX システムにバックドアを仕込むトロイの木馬です。この記事の執筆時点で、この脅威による被害は確認されていませんが、感染経路としてはインストールを誘うソーシャルエンジニアリングが主に利用されていると思われます。現時点で、この脅威と組み合わせて脆弱性が悪用されていると考えられる根拠はありません。インストールの方法として考えられるのは、有名な商標などのブランド認知度を利用してマルウェアのインストールを強いる方法です。

このバックドアが仕込まれると、以下のプログラムが監視されます。

• Adium
• Mozilla Firefox
• MSN Messenger（Mac 用）
• Skype

図 1. Adium を監視する例

図 2. Mozilla Firefox を監視する例

図 3. Skype を監視する例

図 4. キーロガー機能

このマルウェアは、以下の処理を実行できます。

• MSN Messenger（Mac 用）と Adium でトラフィックを記録する。
• Safari または Mozilla Firefox 上でインターネットの使用状況を記録する。
• Skype のセッションをキャプチャまたは記録する。
• バックドア（176.58.100.3x）を介してコマンド & コントロール（C&C）サーバーに機密情報を送信して、コマンドを受信する。

また、以下のディレクトリとファイルも作成します。

• /System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/MacOS/com.apple.mdworker_server
• /System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/Resources/
• /Library/ScriptingAdditions/appleHID/Contents/Resources/appleOsax.r

機能面では明らかに高度な脅威のように見えますが、執筆時点では実際に被害のある感染経路は報告されていないことから、今のところ拡散状況は大きくありません。シマンテックは、OSX.Crisis に対する保護をすでに適用済みですので、ノートンのウイルス対策製品をお使いのユーザーは定義ファイルを更新するようにしてください。

サンプルをご提供いただいた Intego 社に感謝します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。