TrendLabs | ラボレポート
Mac OS X を標的にした不正プログラム「JAHLAV」の亜種が、6月から断続的に発生しています。8月に確認された攻撃のうち、代表的な手口を「OSX_JAHLAV.D」を例にご紹介します。「JAHLAV」ファミリは、正規のアプリケーションを装ってコンピュータに侵入し、DNS サーバの設定を変更することにより、ユーザを不正Webサイトにリダイレクトするという攻撃手法で知られています。Windows の OS に比べると、まだマーケットシェアの低い Mac OS X ですが、Mac 人気の上昇を背景に、Mac を狙った攻撃も増加しているようです。
影響を受ける OS:Mac OS X
感染フロー | この攻撃によりユーザがさらされるリスクは | この攻撃の被害にあわないために
感染フロー:
- ユーザが、以下のようなドメイン「.com」(IP アドレス はすべて同一)にアクセスし、動画を観ようとすると、ビデオコーデック「MacCinema」のインストーラが表示され、このアプリケーションをダウンロードするように促されます。
図1. 「MacCinema Installer」 ・allincorx
・bigdron
・cikaredo
・civilizxx
・comeandtryx
・deribrowns
・draxxtermania
・givendream
・hitrowzone
・jumborad
・ltdkeeper・operationelx
・oxxadox
・paxxtiger
・rednetx
・rstdeals
・simplexdoom
・sinisteer
・tdenuwas
・tniredrum
・ufapeace - ユーザがコーデックをダウンロードしようとしてクリックすると、不正プログラム「OSX_JAHLAV.D」が代わりにダウンロードされます。この不正ファイルは、「MacCinema」を装っていますが、同時に、”QuickTimeUpdate.dmg” というファイル名を用いて、正規アプリケーション「QuickTime」の更新であるようにも見せかけます。このDMGファイルは、難読化されたコンポーネントファイルを含みます。このコンポーネントファイルは、トレンドマイクロの製品では「UNIX_JAHLAV.D」として検出されます。「OSX_JAHLAV.D」は、コーデックをインストールすると見せかけ、実際には、バックグラウンドで「UNIX_JAHLAV.D」を実行します。
- 「UNIX_JAHLAV.D」が実行され、復号化されると、不正スクリプト「PERL_JAHLAV.F」として検出されます。この不正スクリプトは、特定の不正Webサイトにアクセスし、「UNIX_DNSCHAN.AA」として検出される不正プログラムをダウンロードします。
- 「UNIX_DNSCHAN.AA」は、DNS サーバを以下の IP アドレスに変更します。
- <省略>.<省略>.112.139
- <省略>.<省略>.112.131
- このDNS サーバの変更により、不正リモートユーザは、ユーザの活動を監視することが可能になります。
▲TOP
この攻撃によりユーザがさらされるリスクは:
DNS サーバの変更により、不正リモートユーザは、ユーザの活動を監視し、不正Webサイトにユーザをリダイレクトすることが可能になります。このリダイレクト先には、フィッシングサイトおよび不正プログラムをダウンロードするWebサイトも含まれます。フィッシングサイトにリダイレクトされた場合、ユーザの個人情報が漏えいし、悪用される恐れがあります。また、不正プログラムが感染したコンピュータにダウンロードされた場合、ユーザは、さらなるリスクにさらされることになります。
▲TOP
この攻撃の被害にあわないために:
Mac ユーザは、上記のドメインにアクセスしないよう気をつけてください。また、アップルの正規Webサイト以外からソフトウェアをダウンロードする場合、細心の注意が必要です。
|
▲TOP