Macを狙う新手のマルウェア、DNS設定乗っ取られる恐れ
新手のマルウェア「OSX/MaMi」に感染すると、DNSサーバを乗っ取られ、通信に割り込む中間者攻撃を仕掛けられる恐れがある。
Macに感染してDNSを乗っ取る新手のマルウェアが出回っているのが発見され、セキュリティ研究者が詳しい情報を公開して注意を呼び掛けている。
このマルウェア「OSX/MaMi」は、OS X向けの無料セキュリティツールを提供している研究者のパトリック・ウォードル氏が1月11日のブログで報告した。発見のきっかけは、MalwareBytesのフォーラムに同日書き込まれた「同僚がうっかり何かをインストールして、DNSを乗っ取られた」という投稿だった。
ウォードル氏が調べた結果、MaMiに感染すると、実際にDNSアドレスが勝手に書き換えられて乗っ取られてしまうことを確認。同マルウェアはほかにもスクリーンショット撮影、ファイルのダウンロードとアップロード、コマンド実行などの機能を実装していることが分かった。
攻撃者は、新しいroot証明書をインストールしてDNSサーバを乗っ取ることにより、通信に割り込む中間者攻撃を仕掛けることが可能になる。そうした攻撃では認証情報を盗まれたり、広告を挿入されたりする恐れもある。
その後の調査でMaMiは、やはりDNS設定を乗っ取るWindowsマルウェアの「DNSUnlocker」とよく似ていることが分かった。「MaMiはDNSUnlockerのmacOSバージョンらしい」とウォードル氏は推測している。
現時点で感染経路は不明だが、MaMiはさまざまなWebサイトでホスティングされていたという。
ウイルス対策エンジンでの検出率を調べたところ、当初は全59製品ともMaMiをマルウェアとは認識していなかったが、その後、各社のウイルス対策製品で検出されるようになったとウォードル氏は伝えている。
関連記事
- Macを狙うアドウェア「OSX.Pirrit」、マルウェアの手口を借りて拡散
セキュリティ企業Cybereasonによると、OSX.Pirritはシステムに常駐してroot特権を獲得し、ユーザーのWeb閲覧を監視し、偽ウイルス対策プログラムなどの広告を表示しているという。 - Mac向けメディアプレイヤーにマルウェア、正規ルートで配布
公式サイトを通じてダウンロード提供されていた「Elmedia Player」「Folx」にマルウェアが混入。完全に削除するためには、OSを再インストールする必要がある。 - 米CIA、MacやiPhone狙うマルウェア開発していた――告発サイトWikiLeaksが資料公表
CIAはMacのファームウェアに常駐するマルウェアや、工場出荷時のiPhoneにインストールするマルウェアを開発しているとされる。 - Macを狙うマルウェア、何年も前から密かに流通か
このマルウェアは生物医学の研究所を標的に、何年も前から検出されないまま出回っていたと考えられる。 - マルウェアの遠隔操作にDNS悪用の新たな手口、ラックが注意喚起
通常はHTTP(S)通信が悪用されるが、大手企業を中心にDNSプロトコルを使う手口が新たに確認された。企業の管理が手薄になっている場合も多く、確認が急がれる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.