Malwarebytesは7月24日(米国時間)、「New strain of Mac malware Proton found after two years - Malwarebytes Labs|Malwarebytes Labs」において、Mac向けのマルウェア「Proton」の新たな亜種「Calisto」が発見されたと伝えた。Calistoは少なくとも2年前から存在してたとしており、これまで考えられていたよりも以前の段階からProtonが使われていた可能性があると指摘している。

ProtonはMac向けのマルウェアとして有名なものの1つ。Proton自体は2017年2月から広くその存在が知られることになり、後に2018年5月にHandbrakeに仕込まれたこと、2017年10月にElmedia PlayerおよびFolxに仕込まれたことなどを受けてより注目を集めた経緯がある。

しかし、Protonの亜種と見られる「Calisto」が2016年8月の時点でIntego Mac Internet Security X9のインストーラの形で配布されていたことが明らかになったことで、Protonが考えられていたよりも前の段階で使われていた可能性があるとの指摘が出ている。

  • Mac Internet Security X9インストーラを偽装したマルウェア - 資料: Malwarebytes提供

    Mac Internet Security X9インストーラを偽装したマルウェア - 資料: Malwarebytes

記事では、Protonやその亜種は次のファイルに平文状態のパスワードなどを保存 すると説明。

パスワードなどが保存されるファイル
~/.calisto/cred.dat
~/Library/VideoFrameworks/.crd
/Library/.cachedir/.crd

これらファイルが存在していなければ、これらマルウェアには感染していないと説明。逆に、これらファイルが存在している場合にはこれらマルウェアに感染している、または感染していた可能性があることになる。ファイルが存在している場合には削除する必要があるだろうとしている。