「macOS」システム狙うマルウェア「MaMi」、DNSハイジャックの恐れ

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2018-01-16 10:43

 「macOS」システムを標的とするマルウェアが出回っていることがある研究者によって発見された。

 「MaMi」と名付けられたこのマルウェアを最初に発見したのはセキュリティ研究者であるPatrick Wardle氏だ。

 同氏は、Malwarebytesの掲示板に書き込まれた1件の投稿に気付いた。そこには、あるユーザーの同僚が「誤って何かをインストール」した結果、DNSがハイジャックされたと記されていた。

 そのユーザーは該当DNSエントリを削除したにもかかわらず、82.163.143.135と82.163.142.137というアドレスが残り続けたという。

 当初、Malwarebytesのウイルス対策ソフトウェアによって検出されたのは、しばしば迷惑ウェアに分類される「MyCoupon」ソフトウェアだけだった。しかし、DNSエントリのハイジャックという行為は、迷惑というレベルを超えた邪悪なものと考えられた。

 MaMiは洗練されたマルウェアというわけではない。この署名無し64ビットMach-O実行可能ファイルは、「AppVersion」が1.1.0となっていることから、開発されてから間もないものだと考えられる。

 とは言うものの、MaMiの作成者はDNSハイジャック攻撃やスクリーンショットの取得、偽のマウスイベントの生成、ファイルのダウンロード/アップロード、任意のコードの実行といった機能を組み込んでおり、おそらくは起動時の常駐機能も搭載している。

 Wardle氏はブログ記事に、このマルウェアはさまざまなドメインでホストされているが、その感染手段は不明だと記している。

 同氏によると、このマルウェアの設定データを解読するのは「さほど労力の要らない」作業だったという。そして解読の結果、MaMiは中間者(MITM)攻撃を可能にするために、「Keychain Access」アプリを通じて証明書をインストールすることも分かったという。

 同氏は他の研究者と相談した結果、DNSアドレスのハイジャックに関する、「The mystery of 82.163.143.172 and 82.163.142.174」(82.163.143.172と82.163.142.174に関するミステリー)というタイトルの記事が浮かび上がってきた。

 こうした調査の結果、MaMiマルウェアが、「Windows」を標的にする「DNSUnlocker」マルウェアを焼き直したものだという仮説が生み出された。DNSUnlockerは2015年に発見されたマルウェアであり、Windows上のDNSアドレスをハイジャックすることで知られていた。

 Google傘下のウイルススキャンサービス「VirusTotal」におけるウイルス対策製品評価によると、該当ファイルは同ブログの投稿時点で、ウイルス対策製品59種のすべてで「Clean」(問題なし)と評価されていた。しかし、製品側で同マルウェアを検出し、ブロックする対策が開始されており、現在では20以上の製品がMaMiマルウェアのmacOSシステムへの侵入をブロックするようになっている。

マルウェア
提供:Malwarebytes

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]