65万台以上のMacが感染したと見られるFlashbackの騒動がようやく沈静し始めたばかりだが、Kaspersky LabがMacをターゲットにした新たなマルウエア「Backdoor.OSX.SabPub.a」の広がりを報告している。「保護されていないMac OS X環境が理論的に危険であるのを示したFlashfake (Flashback)と異なり、Backdoor.OSX.SabPub.aは脆弱性を残したAppleのコンピュータがサイバー犯罪によって完全にコントロールされる可能性を具体的に示している」と警鐘を鳴らす。
4月上旬に発見されたSabPubは、Flashbackと同じようにJavaの脆弱性を利用して入り込んでくる。感染したマシンでSabPubが行動を開始するとリモートサイトに接続し、米国に存在するコントロール・サーバからのコマンドを待つ。
感染数は比較的少ないが、これはターゲットを絞り込んだ巧妙な攻撃が行われているためだという。管理者に気づかれないように攻撃者が不正侵入する経路を確保する。Kaspersky LabがSabPubに感染したマシンを用意して様子を観察したところ、4月15日にいくつかの異常なアクティビティが確認された。ルートとホーム・フォルダのコンテンツをリストするコマンドが送られてくるなどマシンが分析され、またシステム内に偽物の書類が送り込まれてきた。Flashbackのような“mass-market”マルウエアは自動化されたシステムを用いて数多くのマシンに感染を広げるが、SabPubの場合は攻撃者がマニュアルで分析を行っている可能性が非常に高いという。最も初期に作成されたbotは今年2月で、「それから2カ月近くも発見されなかったことは、SabPubの(2月に広がったMaControlよりも)効果的な攻撃を示す」とKaspersky Lab ExpertのCostin Raiu氏。すでに2つ以上のSabPubの亜種の存在が確認されている。
攻撃者がフォルダの中身をリスト |
「SabPubバックドアは難攻不落なソフトウエア環境などないことを証明するものだ。Mac OS Xを狙ったマルウエア数が比較的少ないことが、より優れたプロテクションを意味するのではない」と、Kaspersky LabのチーフセキュリティエキスパートであるAlexander Gostev氏。"保護"の重要性を訴えている。
Backdoor.OSX.SabPub.aの詳細は、Securelist.comで公開された速報と分析情報で確認できる。