Malwarebytesのチームは最近、「2017年初のMacマルウェア」と呼ぶものを発見しました。Fruitflyマルウェアは、macOSシステム上で長期間にわたり検知されずに動作するために、古いコードを使用していました。バイオ メディカル研究機関を標的とした攻撃に使用されたと報告されています。
Malwarebytesのソフトウェアが「OSX.Backdoor.Quimitchin」として検出するこのマルウェアには、OS X以前のコードが含まれています。一部のコードにはLinux上で動作する可能性を示す兆候も見られ、チームはこのマルウェアがLinux上でも何らかの形で存在していた可能性があると考えています。このマルウェアは、IT管理者が特定のMacから不規則なネットワークアクティビティが発生していることに気づいた際に発見されました。
たった2つのファイルで構成されるこのマルウェアは、隠しスクリプトを使用してサーバーと通信し、MacとLinuxの両方でスクリーンショットを撮影し、システムの稼働時間を盗みます。このスクリプトはまた、macOS Dockにアイコンが表示されないようにする機能を持つ、別のスクリプトとJavaクラスも実行します。Malwarebytesによると、このマルウェアの主な目的はスクリーンショットの取得とウェブカメラへのアクセスにあるようです。
最も興味深いのは、このマルウェアが動作に古いシステムコールを使用していることです。具体的には、SGGetChannelDeviceList、SGSetChannelDevice、SGSetChannelDeviceInput、SGStartRecordなどが挙げられます。さらに、このマルウェアは、JPEG画像の読み書きを行うオープンソースプロジェクトであるlibjpegのコードも実行しています。libjpegは1998年に最終更新されました。
Malwarebytesはマルウェアをさらに詳しく調査し、Mac OS X Yosemiteを「サポート」するための変更が加えられていたことを発見しました。これは、マルウェアが少なくとも2014年後半よりも古いことを示しています。古いコードとYosemiteサポートのためのアップデートだけでは、マルウェアの正確な作成日を示すことはできません。古いシステムコールを使用していることから、マルウェアの開発者は検出を回避するために意図的にこのようなコードを選択している可能性があります。
Malwarebytes によれば、Apple はこのマルウェアをFruitfly と呼んでおり、この問題を解決するためのアップデートがすぐにリリースされるはずだという。
www.moresit.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
