TrendLabs | ラボレポート

　Mac OS X を標的にした不正プログラム「JAHLAV」の亜種が、6月から断続的に発生しています。8月に確認された攻撃のうち、代表的な手口を「OSX_JAHLAV.D」を例にご紹介します。「JAHLAV」ファミリは、正規のアプリケーションを装ってコンピュータに侵入し、DNS サーバの設定を変更することにより、ユーザを不正Webサイトにリダイレクトするという攻撃手法で知られています。Windows の OS に比べると、まだマーケットシェアの低い Mac OS X ですが、Mac 人気の上昇を背景に、Mac を狙った攻撃も増加しているようです。

影響を受ける OS：Mac OS X

感染フロー　|　この攻撃によりユーザがさらされるリスクは　|　この攻撃の被害にあわないために

感染フロー：

1. ユーザが、以下のようなドメイン「.com」（IP アドレス はすべて同一）にアクセスし、動画を観ようとすると、ビデオコーデック「MacCinema」のインストーラが表示され、このアプリケーションをダウンロードするように促されます。

   図1. 「MacCinema Installer」

   ・allincorx ・bigdron ・cikaredo ・civilizxx ・comeandtryx ・deribrowns ・draxxtermania ・givendream ・hitrowzone ・jumborad ・ltdkeeper

   ・operationelx ・oxxadox ・paxxtiger ・rednetx ・rstdeals ・simplexdoom ・sinisteer ・tdenuwas ・tniredrum ・ufapeace

2. 　ユーザがコーデックをダウンロードしようとしてクリックすると、不正プログラム「OSX_JAHLAV.D」が代わりにダウンロードされます。この不正ファイルは、「MacCinema」を装っていますが、同時に、”QuickTimeUpdate.dmg” というファイル名を用いて、正規アプリケーション「QuickTime」の更新であるようにも見せかけます。このDMGファイルは、難読化されたコンポーネントファイルを含みます。このコンポーネントファイルは、トレンドマイクロの製品では「UNIX_JAHLAV.D」として検出されます。「OSX_JAHLAV.D」は、コーデックをインストールすると見せかけ、実際には、バックグラウンドで「UNIX_JAHLAV.D」を実行します。
3. 　「UNIX_JAHLAV.D」が実行され、復号化されると、不正スクリプト「PERL_JAHLAV.F」として検出されます。この不正スクリプトは、特定の不正Webサイトにアクセスし、「UNIX_DNSCHAN.AA」として検出される不正プログラムをダウンロードします。
4. 　「UNIX_DNSCHAN.AA」は、DNS サーバを以下の IP アドレスに変更します。
   • ＜省略＞.＜省略＞.112.139
   • ＜省略＞.＜省略＞.112.131
5. 　このDNS サーバの変更により、不正リモートユーザは、ユーザの活動を監視することが可能になります。

▲TOP

この攻撃によりユーザがさらされるリスクは：

　DNS サーバの変更により、不正リモートユーザは、ユーザの活動を監視し、不正Webサイトにユーザをリダイレクトすることが可能になります。このリダイレクト先には、フィッシングサイトおよび不正プログラムをダウンロードするWebサイトも含まれます。フィッシングサイトにリダイレクトされた場合、ユーザの個人情報が漏えいし、悪用される恐れがあります。また、不正プログラムが感染したコンピュータにダウンロードされた場合、ユーザは、さらなるリスクにさらされることになります。

▲TOP

この攻撃の被害にあわないために：

　Mac ユーザは、上記のドメインにアクセスしないよう気をつけてください。また、アップルの正規Webサイト以外からソフトウェアをダウンロードする場合、細心の注意が必要です。

▲TOP