偽金融取引ソフトに注意 - macOSもターゲットに
株取引を行う正規ソフトを装い、侵入するmacOSを標的としたトロイの木馬が確認された。
Trend Microによると、株式や商品先物などの取引が行えるmacOS向けソフトウェア「Stockfolio」を偽装したマルウェアを2019年6月ごろより確認しているという。
「Stockfolio」そのものは、Mac App Storeで販売されている正規ソフトだが、同ソフトを装ったマルウェアで、同社ではすでに2種類の亜種を把握しているという。
亜種のひとつは、実行後に正規アプリと同様のユーザインターフェイスを画面上に表示しつつも、背後でアプリやドキュメントをはじめとするシステムの内部情報を収集。外部のコマンド&コントロール(C&C)サーバへ送信していた。
マルウェアの作成者が用意したコード署名が用意されていたほか、接続経路を隠ぺいするために、「TOR」を使用している可能性もある。
また6月に見つかった別の亜種は、感染後に特定のコマンド&コントロール(C&C)サーバに接続し、シンプルなリバースシェルとして動作。外部からシェルコマンドによる遠隔操作が可能となっていた。いずれも再起動など行っても永続的に動作するようプログラムされていた。
Trend Microでは、Appleへマルウェアを報告しておりコード署名の取り消しが行われたという。同社では、アプリを入手する際には、よく知られていないサイトからの入手は控えるよう注意を呼びかけている。
(Security NEXT - 2019/11/20 )
ツイート
関連リンク
PR
関連記事
ランサムウェア「RansomHub」が猛威 - 7カ月で200件超の被害
「Foxit PDF Reader」の警告画面に問題 - 悪用する攻撃も
攻撃キャンペーン「Dangerous Password」の最新手口を分析
米政府、マルウェア「Snake」の分析結果を公開 - 露関与と指摘
米政府、北朝鮮関連グループの攻撃に注意喚起 - 標的は暗号通貨やNFT関連
「Emotet」感染で従業員を装ったメール送信 - マクロミル
Google、「Chrome 94.0.4606.71」をリリース - ゼロデイ脆弱性などに対応
偽取引アプリなどで暗号資産を窃取 - 北朝鮮関与か
「Google Play」の一部公開アプリが固有ID情報を取得 - Palo Altoが指摘
攻撃グループ「Tick」、資産管理ソフトへの脆弱性攻撃を継続 - 標的型攻撃も