Mac OSXを対象とするマルウェアについて(1) TrendMicro

AppleのOSXがインストールされているコンピュータ機器を対象に、セキュリティソフトウェア回避、及び証明書乱用等の影響を与えるマルウェア「OSX_DOK」の仕組みについて、平成29年7月10日、TrendMicro社がWebサイトにて報告しました。


引用元:http://blog.trendmicro.com/trendlabs-security-intelligence/osx_dok-mac-malware-emmental-hijacks-user-network-traffic/

概要

OSX_DOKといえば、フィッシングキャンペーンを用いてペイロードを削除しMITM攻撃を仕掛け、利用者のネットワーク通信が乗っ取られるといったスイスの銀行の利用者を対象とした事例があります。

OSX_DOKの攻撃手法


引用元:http://blog.trendmicro.com/trendlabs-security-intelligence/osx_dok-mac-malware-emmental-hijacks-user-network-traffic/
OSX_DOKへの感染経由としては、ファイル名の末尾に「.zip」または「.docx」等の拡張子であるファイルが添付されたフィッシングメールによる感染が挙げられます。
このメールには、Banking Trojansとしての機能を持つ以下2つのファイルが添付されています。
・「.zip」ファイル  偽のOSXアプリケーション
・「WERDLOD  Windows OSを対象とする.docxファイル

同社はOSX_DOKのファイル名を以下のように挙げています。
Zahlungsinformationen 01.06.2017.zip
Zahlungsinformationen digitec.zip
zip
Dokument 09.06.2017.zip
Dokument 09.06.2017.docx
docx
06.2017.docx

 


引用元:http://blog.trendmicro.com/trendlabs-security-intelligence/osx_dok-mac-malware-emmental-hijacks-user-network-traffic/
ユーザがフィッシングメールに含まれるdocxファイルをクリックすると、上の画像のように警告メッセージが表示されます。

 


引用元:http://blog.trendmicro.com/trendlabs-security-intelligence/osx_dok-mac-malware-emmental-hijacks-user-network-traffic/
システム上のApp Storeが削除され、OSXのアップデート画面がフルスクリーンで表示されます。

 


引用元:http://blog.trendmicro.com/trendlabs-security-intelligence/osx_dok-mac-malware-emmental-hijacks-user-network-traffic/
その後、当該マルウェアがルートとしてコマンドを実行するために、パスワードを要求します。

マルウェアは他のユーティリティのダウンロードを開始し、この動作はGolang(プログラミング言語)とTorをインストールするためのオープンソースのソフトウェアパッケージマネージャー「Homebrew」に依存しています。
次にマルウェアは、ユーザに通知せずにMITM攻撃を実行するために、システムに偽の証明書をインストールします。
偽のApp Storeの構造は、アプリケーションのバンドル構造に一致し、英語とドイツ語の両方のインターフェイスを提供します。
主な実行ファイルは「Dokument.app 」「 Contents 」「MacOS」「AppStore」の4つです。

 


引用元:http://blog.trendmicro.com/trendlabs-security-intelligence/osx_dok-mac-malware-emmental-hijacks-user-network-traffic/
偽のMac OSXのアーカイブは上の画像ののように、Wordファイルのアイコンとして保存されます。

Mac OSXが証明書を発行するとアプリケーションを実行し、この時マルウェアは偽のアカウント、あるいは侵害されたユーザのアカウントの可能性があるため、マルウェアは開発者によってサインオフされます。

この証明書のタイムスタンプは新しいもので、この攻撃のために特別に取得されたことを意味します。



引用元:http://blog.trendmicro.com/trendlabs-security-intelligence/osx_dok-mac-malware-emmental-hijacks-user-network-traffic/
また、偽の証明書はCOMODOルート証明書を装いますが、上の画像(左がの証明書、右が正規の証明書)のように、偽の証明書には有効性を証明するCOMODO認証局シールが含まれていません。

Mozilla FirefoxやGoogle Chrome等のブラウザには、独自のルート証明書があるため、OSX_DOKはそれらの環境において機能せず、主要ブラウザとしてはSafariのみ当該マルウェアの影響を受けるシステムの証明書を使用します。

 

関連リンク

TrendMicro社による報告一覧

マルウェアについて

トロイの木馬について

Mac OSXを対象とするマルウェアについて(2)  TrendMicro社

HTML HTML HTML

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop