Macに移植されたWindowsの「Snake」マルウェアがAdobe Flash Playerインストーラーに変身

Macに移植されたWindowsの「Snake」マルウェアがAdobe Flash Playerインストーラーに変身

まいど、酔いどれ( @yoidoreo )です。

マルウェア「Snake」

TurlaとUroburosとも呼ばれるSnakeは、少なくとも2008年以降、Windowsシステムのまわりで感染していたバックドアマルウェアです

2014年にLinuxシステムに感染することさえ見られました。現在、Macに移植されているようです

Fox-IT Internationalは火曜日にMac版のSnakeの発見について書いた

現時点でSnakeが普及しているかどうかは分かっていませんが、Adobe Flash Playerのインストーラに偽装されています

配布

このマルウェアは、「Install Adob​​e Flash Player.app.zip」という名前のファイルに包まれており、Zipファイル内のアプリは正当なAdobe Flash Playerインストーラーのようです

しかし、署名された証明書が「Adobe」の代わりに「Addy Symonds」となっています、署名されている限り平均的なユーザーはそれにきがつかないでしょう

アプリケーションが開かれている場合は、すぐに実際のFlashインストーラの典型的な動作である管理者パスワードを要求します、このようなパスワードが提供されると、その動作は本物のものと同じように動作します

インストールを最後まで進めると疑わしい動作が表示されず、結局Flashが実際にインストールされます

これは、他の偽のFlashインストーラとはかなり違っています、実際のFlashインストーラをダウンロードし、偽のインストールプロセスを進めた後、別途オープンします

これは、実際のFlashインストーラが組み込まれているためです
このアプリケーションは、奇妙な内部構造を持ち、macOS上のアプリケーションバンドルの通常の構造が欠けていますが、それは動作します
Snake 002

影響

この特定の偽のFlash Playerインストーラは、AdobeのWebサイトではなく電子メールからダウンロードする必要があるため、感染は少し制限されています

幸いにも、Appleは証明書を非常に迅速に取り消したので、この特定のインストーラは、隔離フラグ(ほとんどのトレントアプリなど)でユーザーにダウンロードされない限り、それ以上の危険はありません

ただし、システムに感染すると、暗号化されていないファイルやパスワードが公開される可能性があります

画像元:Malwarebytes
(Via Malwarebytes , iPhone Hacks)


LEAVE A REPLY

*
*
* (公開されません)