【Dr.WEB】Mac OS Xを狙う危険なトロイの木馬再び

Doctor Webでは、Mac OS Xを標的とする危険なバックドアトロイの木馬の新たなバージョンであるMac.BackDoor.OpinionSpy.3について分析を行いました。この悪意のあるプログラムはMacユーザーをスパイする目的を持ち、ユーザーの開いたwebページに関する情報を集めて犯罪者に送信したり、コンピューターのネットワークカードを経由するトラフィックを分析、インスタントメッセージングプログラムから送られたネットワークパケットを傍受するほか、複数の危険な動作を実行します。

Mac.BackDoor.OpinionSpyプログラムは2010年より情報セキュリティエキスパートに知られていましたが、先頃その新たな亜種がDoctor Webウイルスラボに登場し、Mac.BackDoor.OpinionSpy.3と名付けられました。

Mac.BackDoor.OpinionSpy.3は3段階のスキーマを用いて拡散されます。Mac OS X向けのあらゆるソフトウェアを提供する各種webサイトには一見無害なプログラムがありますが、それらと一緒にpoinstallファイルが配布され、インストールと同時に起動します。そのようなアプリケーションのインストール中に、ユーザーがそれらに対して管理者権限を与えてしまうと、poinstallは一連のPOSTリクエストを犯罪者のサーバーへ送信し、応答として.osa 拡張子を持ったパッケージをダウンロードするためのリンクを受け取ります。その中にZIPアーカイブが含まれています。poinstallはこのアーカイブを解凍し、PremierOpinionと呼ばれる実行ファイルと動作に必要な設定データを含んだXML ファイルを抽出した後プログラムを起動させます。

標的とするMac上で起動されると、PremierOpinionはC&Cサーバーに接続し、また別の.osa ペッケージをダウンロードするためのリンクを受け取ります。このパッケージから、同じPremierOpinionという名前を持った完全なアプリケーションが抽出されてインストールされます。このアプリケーションには複数の実行ファイルが含まれています。悪意のあるペイロードを持たないPremierOpinionプログラム、およびユーザーのMac OS X上で危険な動作を実行するPremierOpinionDバックドアです。

このトロイの木馬はインストール時に管理者権限を取得し、その権限を用いてシステム上で動作します。ユーザーがセットアップ時に権限を与えることに同意しなかった場合は、ユーザーがインターネットからダウンロードしたプログラムのみが、スパイコンポーネントを一切含まずにコンピューター上にインストールされます。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=837&lng=ja&c=2

Macに最適な対策 → Yosemite セキュリティソフト