AppleのmacOSが新たなDNSハイジャック攻撃の標的になったと報じられています。The Hacker Newsが指摘しているように、このマルウェアは2011年に400万台以上のコンピューターに影響を与えたトロイの木馬「DNSChange」に類似しているとされています…
この種のマルウェアは、感染したコンピュータのDNSサーバー設定を変更することで動作し、トラフィックを悪意のあるサーバーにルーティングし、その過程で機密データを記録します。この新しいバージョンはOSX/MaMiと呼ばれています。
このマルウェアに関するニュースはMalwarebytesフォーラムで初めて公開され、元NSAハッカーのパトリック・ウォードル氏が詳細な調査を行いました。ウォードル氏は、このマルウェアがDNSハイジャッカーであることは事実だが、実際にはさらに踏み込み、新しいルート証明書をインストールして暗号化された通信を乗っ取ることを突き止めました。
「OSX/MaMi は特に高度なものではありませんが、感染したシステムをかなり厄介で永続的な方法で変更します」と Wardle 氏は書いています。
「新しいルート証明書をインストールし、DNSサーバーを乗っ取ることで、攻撃者は中間者攻撃トラフィック(おそらく認証情報を盗む、または広告を挿入する)などのさまざまな不正行為を実行したり、Webページに暗号通貨マイニングスクリプトを挿入したりすることができます。」
さらに、このマルウェアの影響範囲は、マウス イベントの生成、スクリーンショットの撮影などにまで及ぶと言われています。
- スクリーンショットを撮る
- シミュレートされたマウスイベントの生成
- 起動項目として保持される可能性があります (programArguments、runAtLoad)
- ファイルのダウンロードとアップロード
- コマンドの実行
この攻撃についてはまだ多くのことが分かっていません。例えば、どのように拡散しているのかという具体的な情報はまだ不明です。しかし、ウォードル氏は、攻撃者が悪意のあるメールや偽のセキュリティ警告、ポップアップといった、比較的基本的な手法を用いているのではないかと推測しています。
現在、システム環境設定を起動し、「ネットワーク」メニューで「詳細」を選択し、DNSメニューに切り替えることで、影響を受けていないかどうかを確認できます。そのメニューで、82.163.143.135と82.163.142.137に注目してください。
現時点では、ウイルス対策製品ではこのマルウェアが検出されないことに留意することが重要です。
新しいマルウェアではよくあることですが、このマルウェアは現在、VirusTotal の 59 個のエンジンすべてで「クリーン」とマークされています (AV 製品が検出機能を追加し始めると、すぐに状況が変わると思われます)。
さらに、Wardleは、OSX/MaMiマルウェアによるデータ窃盗を防ぐ、macOS向けの無料オープンソースファイアウォール「Lulu」をリリースする予定です。Wardleからの詳細情報は、こちらをご覧ください。
Appleのニュースをもっと知りたい方は、YouTubeで9to5Macを購読してください。
slanear.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
