セキュリティ企業 Intego は、Pintsized と呼ばれる新しい OS X バックドア型トロイの木馬マルウェアを発見しました。このマルウェアは Gatekeeper を回避して Mac に感染し、暗号化されたリバースシェル接続を開始することで攻撃者がファイアウォールを突破するのを手助けします。
最高のMac用ウイルス対策ソフトウェア
「この脅威は、Gatekeeper を突破するためのエクスプロイトから始まる可能性が高い」と Intego は報告している。Gatekeeper とは、デジタル署名システムを実装することでユーザーがマルウェアをインストールするのを防ぐことを目的として OS X 10.7 Lion で導入されたセキュリティ機能のことである。
「システムに侵入すると、リバースシェルを構築します」とIntegoは続ける。「つまり、マシンが感染したことをコントローラに通知するのではなく、コントローラは感染したマシンに定期的に接続してコマンドを実行します。感染マシンの外部から接続を開始することで、ファイアウォールを通過できる可能性があります。」
しかし、この脅威は発見が難しい場合があります。Intego社によると、この接続は通常印刷に使用されるファイルの中に隠されており、すべてのコマンド履歴を消去して追跡できないようになっています。しかし幸いなことに、攻撃者は平文のPerlスクリプトも使用しており、何を探せばよいかを知っている人なら簡単に発見できます。
Intego がマルウェアが生成したと報告したファイル名は次のとおりです。
- com.apple.cocoa.plist
- cupsd (Mach-O バイナリ)
- com.apple.cupsd.plist
- com.apple.cups.plist
- com.apple.env.plist
現時点ではPintsizedは広範囲に及ぶ脅威ではないようで、Integoは標的型攻撃の可能性を示唆しています。しかしながら、Integoは2月19日時点で、同社のウイルス対策ソフトウェアVirusBarrierはPintsizedを検出できたものの、本稿執筆時点ではXProtectではこの脅威から保護できないと述べています。
参照:
Mac所有者の半数以下がウイルス対策ソフトをインストールしている
ユーザーのモバイルアカウントに課金する新しいMacマルウェア
パスワードを盗む新たなMacマルウェア
