NERV Security Blog

MacマルウェアProtonの亜種、2年前に存在確認

  • 2018年08月8日

最近になって、カスペルスキー社は、少なくとも2年前から存在しているCalistoと名づけたMacマルウェアのProtonの亜種を報告しています。Calistoは現時点では、完全に消滅したものと思われていましたが、それでもこれまでに感染を示す潜在的なセキュリティの影響が残っています。

Protonは遡ること2017年2月に、初めてアップルセキュリティのアップデートにより世界中で確認されました。5月にProtonを拡散させるためにハッキングされた人気DVDリッピングツール  Handbrakeが確認されました。10月にはEltima ソフトウェアウェブサイトがハッキングされ、Elmedia Player とFolxがProtonをDLさせるように改変されたことが確認されました。さらにProtonが偽のSymantecのアプリによりインストールされたり、検索エンジン最適化による偽のSymantecのブログより拡散される事が確認されました。

ProtonはMac史上、最も注目されるマルウェアの一つかもしれません。しかし、その話は従来、信じられていたよりもはるか前に始まったと思われます。カスペルスキーのCalistoの発見は初期のProtonの異なる形態であり、それを証明しています。

Calistoの作用

Calistoは偽の Intego Mac Internet Security X9 installerという形態で拡散され、2016年8月にマルウェア追跡サイト、VirusTotalに投稿されました。Intego’s X9 softwareが2016年6月20日に1stリリースがされているため、このマルウェアの最初の出現日時は明確とんります。しかし、このマルウェアのバージョンより古いバージョンがあったと思われる証拠も存在しています。

幸い、現時点で当マルウェアはそれが復活させようとするサーバがもう存在しないので、実際に脅威になりません。

2015年9月30日にOS X 10.11 (El Capitan)にSystem Integrity Protection (SIP)を追加したことにより、このマルウェアに問題が発生しました。CalistoはSIPで保護されてしまった複数の箇所の変更を使用し動作していたので、EI Capitanまたはそれ以降のシステムでは一部の機能は動作できなくなってしまいました。これは、このマルウェアが今回のリリースよりも以前に作成された可能性があることを意味しています。

マルウェアが最近のシステム上で作動しない事実に関係なく、Protonの後継亜種のようなマルウェアがパスワードを入力する形のファイルを収集し、既に反応をしない悪意を持ったサーバにデータを流出させています。それは当マルウェア、他のProtonの後継亜種内にある影響力に対する主な理由を提供するファイルです。

パスワード流出

今月初めに、OSX.Dummyの発見に伴い、マルウェアバイト社は今後現れる攻撃者に重要なデータを残すことができるマルウェアの問題を取り上げました。Protonは同様の動作を行い、Calistoの後継亜種は他のと同じです。

まるでDummyのようなProtonはユーザのパスワードを含むファイルをクリアテキスト内に残してしまいます。後継亜種のprotonの場合、このようなファイルは以下のロケーションに存在します。

大事なことはあなたのシステム上やあなたが制御するシステム上にこのようなファイルが存在しないと確認をすることです。

マルウェアもしくはディレクトアクセスを利用して攻撃を仕掛けたいシステムにアクセスすると仮定してみて下さい。しかし、そのユーザのパスワードは知りません。そのパスワードを知っていれば、著しく攻撃性を高められるかもしれません。一つの方法としてそれを可能にするのはユーザに確認することでありますが、ユーザに不審に思われるかもしれません。

その場でパスワードを発見することができて、それを使い始めたらどうなるでしょうか?システム上、Proton もしくは Dummyのようなマルウェアに感染されているのは明らかであり、それは正に実行可能なことです。ハッカーは単純にこのファイルを探す必要があり、ユーザネームとパスワードが都合の良い形になっていて、使用できる状態であると分かります。

改善策

大事なことは使用されるMac上にこうしたパスワードファイルが存在することを確認することです。

コマンド上で”該当するファイルもしくはディレクトリがありません”と説明があれば、クリーンということです。違う場合、そのファイルを外す必要があります。ファイル全ては目に見えないものであるか、目に見えないフォルダー中にあるのでこれは少し扱いにくいです。

別の解決方法として、Mac向けのマルウェアバイトはそのようなアイテムを削除できます。

 

             MalwarebytesLABS、New strain of Mac malware Proton found after two years:より引用

 

取扱製品

Safend Data Protection Suite
Safend Protector
ポート・デバイスの制御を実施し、記憶媒体の暗号化も実施します。 詳しくはこちら
Safend Encryptor
内蔵HDDを暗号化し、盗難・紛失からの情報漏えいを防止します。 詳しくはこちら
Safend Inspector
社内の機密情報をプリンター、メール、FTPなどの経路から流出しないよう制限をかけ、情報流出を防ぎます。 詳しくはこちら
その他
セキュリティポリシーを検討を補佐するオプションもご用意しています。
Safend Auditor-デバイスの監査
Safend Repoter-ログの可視化
Safend Discover-クライアント内のデータ監査
詳しくはこちら
Malwarebytes
Endpoint Security
高度なマルウェアの発見と修正、悪意のあるウェブサイトへブロック 詳しくはこちら
Endpoint Protection
業界最高レベルの情報収集技術を持った次世代マルウェア対策ソフトウェア 詳しくはこちら
Gate Scanner
Gate Scanner
CDR技術を利用し、組織内へランサムウェア、ゼロデイ、そして従来のウイルスの侵入を防止します 詳しくはこちら