McAfee Blog
マカフィー株式会社公式ブログ

McAfee, Inc.

McAfee Labs] 2012年4月24日 更新

MacをターゲットにしたFlashbackマルウェアの亜種が拡散中

 

Macを攻撃するトロイの木馬、Flashbackがニュースになっています。今年4月4日頃には、50万件を超える感染が報告されました。さらに最近では新しい亜種が拡散中であることがわかりました。マルウェアによる攻撃が成功すれば、そのコピーや亜種が複数発生するのは当然のことです。

Flashbackはウイルスと異なるトロイの木馬であるため、自己複製しません。多くの場合、有益なファイルと見せかけたり、ユーザーが入手するよう誘導したりして、手動で実行させて繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用してユーザーを騙し、手動で未知のプログラムを実行させることです。メール、悪質なWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。現時点では、CVE-2012-0507の脆弱性に関連する脆弱なJavaプラグインをターゲットにしていました。ユーザーが乗っ取ったページにアクセスすると、iframeタグを使って、ユーザーを別の悪質なページにリダイレクトし、悪質なJavaアプレットにより、実際のエクスプロイトが動作します。

OSX/Flashfake(正式な検出名)はCVE-2012-0507を利用する悪質なJavaアプレットによってドロップ(作成)され、実行されると、ユーザーに管理者パスワードの入力を求めます。ユーザーがパスワードを入力してもしなくても、Flashbackはシステムに感染しようとします。パスワードを入力すると、感染方法が変わるだけです。

Flashbackはcomadobefp.pkgという名前のPKGファイルとして届き、Flash Playerのインストーラーを装っています。

ユーザーに管理者権限で実行するよう求めます。

インストールに成功すると、リモートサイトにアクセスし、必要な構成ファイルをダウンロードしようとします。

また、Flashbackには、ファイアウォールがターゲットシステムにインストールされているかどうか確認するという特性があり、ファイアウォールが見つかると、アンインストールします。(Flashbackの中には、シンクホールを利用して配布されるものもあります。)

感染したユーザーは気付かないうちにfake-AVの亜種をダウンロードします。これを回避するには、最新のシステムで最新のセキュリティソフトウェアを実行し、ブラウザプラグインを使ってスクリプトやiframeが実行されないようにし、不審なWebサイトへのアクセスを防ぐセーフブラウジング機能を使用してください。

必見 ランサムウェア情報 身代金被害急増中!

Also Find Us On

マカフィーは世界最大規模の独立系サイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を超えて共に力を合わせることで実現する、より安全な世界を目指し、企業そして個人向けのセキュリ ティソリューションを提供しています。詳細は http://www.mcafee.com/jp/ をご覧ください。

 

© 2003-2017 McAfee, Inc. All Rights Reserved.