logo

Macから情報を盗むマルウェアに要注意--「iPhone」のバックアップも標的

Danny Palmer (ZDNet.com) 翻訳校正: 水書健司 長谷睦 (ガリレオ)2017年02月16日 10時46分
  • このエントリーをはてなブックマークに追加

 史上最大規模のサイバースパイ活動への関与が疑われるグループが「Mac」ユーザーをマルウェアで狙っている。このマルウェアは、パスワードを盗み、スクリーンショットを撮り、バックアップの「iPhone」データを入手するというものだ。

提供:iStock
提供:iStock

 Bitdefenderのサイバーセキュリティ研究者がこのマルウェアを発見した。米大統領選に干渉したとの疑いが出ているハッカー集団、APT28と関連があるとみられるという。

 Bitdefenderの指摘によると、2016年9月から発生している今回のMacに対するマルウェア攻撃と、APT28の過去の活動には数多くの類似点があるという。同グループはロシア軍情報部と密接な関係があると考えられており、Fancy Bearの別名でも知られている。

 この新種のマルウェアは、「Mac OS X」搭載マシンを標的としており、システムにモジュラーバックドアをインストールし、侵入者がサイバースパイ活動を実行できるようにするものだ。

 研究者たちが、今回のマルウェアとAPT28には関係があると考えているのは、分析されたサンプルに同じドロッパー(ダウンロード役のマルウェア)と、類似したコマンド&コントロール(C&C)サーバのURLが含まれているからだ。

 このバックドアは、Macのシステムへのインストールに成功すると、まずデバッガがないかチェックし、見つかった場合には自身を終了させる。デバッガが見つからなければ、インターネットに接続されるのを待って、AppleのドメインになりすましたC&Cサーバとの通信を開始する。

 C&Cサーバへの接続が確立すると、ペイロードが2つの通信スレッドを作る。1つはC&Cへ情報を送信するもの、もう1つはコマンドの受信に用いるものだ。

 このマルウェアを分析したところ、複数のモジュールの存在が確認された。これらのモジュールは、感染したシステムのハードウェアとソフトウェアの構成調査、実行中のプロセスに関する情報の収集、デスクトップのスクリーンショットの取得、パスワードの窃取といった機能を持っている。

 Xagentはまた、感染したMacに保存されているiPhoneのバックアップを盗む能力も備えている。この機能が使われた場合、デバイスに保存されたさらに多くのファイル、さらには秘密あるいは取り扱いに注意を要するデータへのアクセスが侵入者に提供されることになり、より広範囲でのサイバースパイ活動が可能になる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集