Macにインストールされると、Flashbackは裏口を設置し て、感染したマシン上でほとんどなんでも実行できる状態になります。ハッカー が感染したMacに侵入し、ユーザの情報を嗅ぎ回ってユーザ名やパスワードをコ ピーすることもできますから、感染したMacのユーザは、考えられるあらゆる危 険にさらされることになります。
Apple Product Security Responseチームは、2012年にXProtectとセキュリティ アップデート(Malware Removal Toolを含む)を使ってこの脅威に対抗しました。しかし、弊社のシンクホール調査によれば、ボットネットの数は1 /6になったに過ぎません。それ以降、Appleは特に発表はしていませんが、2013 年末までに生成されたすべてのドメインを購入し始め、該当するドメインを閉鎖 してきました(つまり、毎回、.com、.net、.info、.in、.kzの5ヶのTLDで1つ のドメイン名を登録しています)。
一方、2014年になっても、Flashbackに感染したボットネットは静かに稼働し続 けています。
Integoも、Flashbackの脅威を監視するために、数千台のMacに感染した指令管制 サーバのドメイン名をいくつか購入しています。この1月2日から、こうしたド メインおよび弊社のシンクホールサーバが、いまだに動作し続けるFlashbackに 感染したMacからこうした指令管制サーバへ接続しようとするすべての通信を記 録しています。
以下は、Apache Serverログのコピーです:
5日間で、最低22,000台の感染したMacが記録されています。今朝の時点では、 14,248ヶの最新のFlashbackの亜種の識別子が見つかります:
| バージョン | 数 |
|---|---|
| sv:1 | 1,556 |
| sv:2 | 1,813 |
| sv:4 | 955 |
| sv:5 | 9,924 |
今ではドメイン名はAppleが登録しており、他の研究者も監視していますが、作者が将来それらのドメイン名を買い直す可能性もありま すし、セキュリティ研究者による指令管制サーバの監視が終われば、他の犯罪者 がそのボットネットを悪用する可能性もあります。
Flashbackは、汎用性が高い設計になっています。本当に厄介なマルウェ アなのです。自己暗号化しますし、感染したMacのUUIDを使ってマシンの所有者 に関する情報を指令管制サーバに送出します。
Integoでは、すべてのMacユーザがFlashbackに感染していないか今一度確認する ことをお勧めします。検出率で一位に輝いた弊社のアンチウイルスソフト、Intego VirusBarrierをダウンロードして、お使いのMacに Flashbackの亜種が存在しないか確認することが可能です。もちろん、同時にそ の他のマルウェアの有無についても確認できます。
Posted on January 7th, 2014 by Arnaud Abbati
intego Mac専用 インターネットセキュリティ 2014 最新版
http://www.act2.com/integox8/
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。