ノルウェーの人権会議に参加していたアンゴラ出身の活動家のラップトップに、有効な Apple Developer ID で署名された、これまで知られていなかった Mac OS X スパイウェアが見つかった。
セキュリティ研究者でプライバシー活動家のジェイコブ・アッペルバウム氏は、今週初めにオスロ自由フォーラムに出席した活動家の Mac にスパイウェアを発見した。
アペルバウム氏は木曜日、Twitterで、活動家のコンピュータがスピアフィッシング攻撃によって侵入されたと述べた。同氏は、攻撃メールのコピーと2種類のマルウェアサンプルを保有していると主張している。
フィンランドのウイルス対策会社F-Secureのセキュリティ研究者は、マルウェアサンプルの1つを分析し、それがこれまで知られていなかったMacバックドアプログラムであり、有効なApple Developer IDで署名されていると思われるという結論を下した。
Apple の Developer ID プログラムにより、開発者は Apple が発行した信頼できるデジタル証明書を使用して Mac アプリケーションに署名できるため、Mac OS X Mountain Lion の Gatekeeper 機能によってマルウェアとしてフラグ付けされることがなくなります。
Appleは開発者向けウェブサイトで、「アプリケーション、プラグイン、インストーラーパッケージに開発者ID証明書で署名することで、Gatekeeperはそれらが既知のマルウェアではなく、改ざんされていないことを検証できます」と述べています。理論的には、これによりAppleは特定のアプリの証明書を失効させ、アプリの実行を阻止することも可能になるはずです。
F-SecureがOSX/KitM.Aとして検出するこのマルウェアは、許可なくスクリーンショットを撮影し、後でリモートサーバーにアップロードするためにフォルダに保存します。F-Secureの分析によると、このマルウェアはオランダのサーバーにホストされている2つのコマンド&コントロールドメインに接続します。
ウイルス対策企業のシマンテックも、OSX.Kitmosと呼ばれる新たな脅威に対する検出ルーチンを追加しました。同社ウェブサイト上の技術文書によると、このトロイの木馬プログラムは、スクリーンショットを撮影するだけでなく、他のマルウェアをダウンロードしてインストールし、情報を盗むことも可能です。
シマンテックによれば、このマルウェアは攻撃者に代わってコマンドを実行し、侵入したコンピュータからファイルをアップロードし、自身の存在を隠すためにネットワークアクティビティインジケーターを操作することができるという。
スピアフィッシングメールのコピーを公開する予定があるかどうかというツイッター上の質問に答えて、アップルバウム氏は、被害者の命が危険にさらされている可能性があるため、まず被害者と詳細について話し合った上でブログ記事を書く予定だと述べた。
