Macユーザー狙ったトロイの木馬が出現、初の本格攻撃か

Macでポルノビデオを見るためと称して配布されているトロイの木馬は、ユーザーを悪質なDNSサーバにリダイレクトするという。

» 2007年11月01日 09時30分 公開
[ITmedia]

 Mac向けのセキュリティソフトを手掛けるIntegoが、Macユーザーを標的としたトロイの木馬が見つかったと発表した。Macに対する本格的な攻撃が発覚したのは初めてとみられる。

 Integoによると、このトロイの木馬「OSX.RSPlug.A」は、複数のポルノサイトで、Macでポルノビデオを無料で見るために必要なビデオコーデックと称して配布されていた。

 Mac関連のフォーラムには、ユーザーをこのサイトに誘導することを狙ったスパムが大量に投稿されているという。

 問題のサイトにはポルノビデオの静止画が掲載されており、ユーザーがビデオを見るつもりでこの画像をクリックすると、英語で「QuickTime Playerが映画ファイルを再生できません。ここをクリックして新しいバージョンのコーデックをダウンロードしてください」というメッセージが表示される。

画像 Macユーザーを狙うトロイの木馬(Sunbelt Softwareのブログより)

 このページがロードされると、ディスクイメージ(.dmg)ファイルがユーザーのMacに自動的にダウンロードされる。ユーザーがインストールを実行すると、ビデオコーデックではなくトロイの木馬がインストールされる。なお、インストールには管理者パスワードが必要で、これによってトロイの木馬がroot権限を取得する。

 トロイの木馬はMacのDNSサーバの設定を変更して悪質なDNSサーバにリダイレクトし、ユーザーをフィッシング詐欺やポルノなどの問題サイトに誘導してしまうという。

 Mac OS X 10.4のGUIではDNSサーバの設定が変更されたことは分からず、Mac OS X 10.5ではAdvanced Networkのプリファレンスでチェックできるが、追加されたDNSサーバを手動で削除することはできないという。

 セキュリティ企業のSunbelt Softwareも、Integoの報告についてブログで紹介。これはプロのマルウェア集団がMacユーザーを狙った初の本格的なターゲット型攻撃だと指摘した。

 ただし、同社の知る限りではこのトロイの木馬はまだ広く拡散しているわけではないという。また、Integoの発表のうち「攻撃者がWebトラフィックをリダイレクトして、PaypalやeBayのサイトを閲覧しようとしたユーザーを詐欺サイトに誘導してしまう」という部分は、大げさにかき立て過ぎだとSunbeltは述べている。

関連キーワード

Mac | トロイの木馬 | Apple | Mac OS X


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ