ESET - CYBER SECURITY

ESETは7月6日(米国時間)、「New OSX/Keydnap malware is hungry for credentials」において、バックドアとして動作するとともにキーチェーンアクセスから認証情報などを摂取するMacをターゲットとした新しいマルウェア「OSX/Keydnap」について伝えた。Gatekeeperが有効になっている場合は感染前に問題に気がつくことができるが、Gatekeeperを無効にしていたり、同機能を無効にするようなソフトウェアを使っていたりする場合には注意が必要。

マルウェア「OSX/Keydnap」はZIPファイルの形式で配布されており、メッセージなどに添付される形で広まっているとされている。ZIPファイルを展開すると中から画像(.jpg)ファイルやテキスト(.txt)ファイルのように見えるファイルが展開されてくる。しかし、このファイル名の最後には空白が1つ含まれており、実際の拡張子は別のものになっている。アイコンデータが偽装されているため、実行ファイルであることに気がつきにくく、中身を見ようとしてダブルクリックしてしまうとマルウェアが実行されてしまう仕組みになっている。

実際にはシェルで実行される実行ファイルであるため、ダブルクリックすると一瞬だけターミナルアプリが起動してくる。しかし、すぐに終了してしまうため実行されたことに気がつかず、ダミーで表示される画像やテキストの表示を見て感染に気がつけない可能性がある。実行されるのはダウンローダになっており、ほかのマルウェアをダウンロードしてバックドアとして機能するとともに、キーチェーンアクセス経由でパスワードなどの情報を窃取していくようになる。対策としては、Gatekeeperの機能を有効にするか、「OSX/Keydnap」に対応したセキュリティソフトウェアの利用することが望まれる。