新たに発見されたOS Xマルウェアがハッキングチームの復活を示唆

ハッキングチームが新しいMac OS Xマルウェアで復活する可能性

最近発見された新しいOS Xマルウェアのサンプルは、政府に監視ソフトウェアを販売する物議を醸すイタリアの企業ハッキングチームから来ている可能性があることを示唆しています。このエクスプロイト販売者は、データが公開され、すべてのソフトウェアのソースコードが漏洩するという壊滅的なサイバー攻撃の後、市場に復帰しています。

セキュリティ研究者によると、発見されたOS Xマルウェアは、ハッキングチームの古いMacマルウェアの新しいバージョンである可能性が高いとのことです。彼らによれば、このサンプルは主に古いハッキングチームのOS Xマルウェアと同じコードで構成されていますが、検出されにくくするための新しいコンポーネントが含まれています。

研究者たちはまた、このマルウェアがソフトウェア企業のリモートコードシステム（RCS）妥協プラットフォームのコピーをインストールすることを指摘しており、悪名高い物議を醸すイタリアの企業が戻ってきたと信じています。

問題のマルウェアは、コンピュータに異なるプログラムをインストールします。今回はマルウェアが「ドロッパー」であり、他のソフトウェアをコンピュータに植え付けるために使用され、ハッキングチームのRCSをインストールするようです。「ドロッパーは、古いハッキングチームのRCSサンプルとほぼ同じ技術を使用しており、そのコードもほぼ同じです」とセキュリティ研究者のペドロ・ヴィラカは書いています。

ハッキングチームは昨年7月にネットワークで大規模な侵害を受け、政府との関係、電子メール、ソースコード、エクスプロイトなどの機密情報を含む約400GBのデータがオンラインで公開されました。それ以来、グループは神秘的に静かです。「これは古いサンプルか、ハッキングチームがハック前と同じコードベースをまだ使用しているかのどちらかです」とヴィラカは書いています。このグループは過去に、プライバシーや人権団体から人権記録が悪い政府にソフトウェアを販売していると非難されています。

今月初め、Googleが所有するVirusTotalに「Morcut」と呼ばれる新しいOS Xベースのトロイの木馬サンプルがアップロードされ、その時点では人気のあるアンチウイルスプログラムはそれを検出できませんでした。現在までに、AVG、Eset-Nod 32、F-Secure、BitDefender、TrendMicroを含む15のアンチウイルスプログラムがそれを検出できるようになりました。

Synackセキュリティ企業のパトリック・ウォードルは、インストーラーが昨年の10月または11月に最後の更新を受けたと考えています。彼は、このマルウェアのサンプルが古いハッキングチームのマルウェアとほぼ同じコードを利用していると付け加えました。

「私はこのドロッパーの中にいくつかのユニークなコードを見つけました。このコードは新しいOS Xバージョンをチェックし、漏洩したソースコードには存在しません」とヴィラカは書いています。「誰かがハッキングチームのコードを維持し、更新しているか（なぜそんなことをするのか！?!?）、あるいはこれは本当にハッキングチーム自身によってコンパイルされた正当なサンプルです。マルウェアのソースコードの再利用と再目的化は発生します（例えば、ゼウスなど）が、私の直感と指標はその方向を指していないようです。」

このマルウェアがシステムにどのようにインストールされるかは不明です。しかし、ウォードルは、あなたのMacが感染しているかどうかを確認する方法を見つけました。

あなたが影響を受けているかどうかを確認する方法は次のとおりです：

• 感染しているかどうかを確認するには、~/Library/Preferences/8pHbqThW/ ディレクトリにドロップされるBs-V7qIU.cYLまたは_9g4cBUb.psrを探してください。
• これらのコードのいずれかを見つけた場合は、そのディレクトリ全体を削除し、~/Library/LaunchAgents/com.apple.FinderExtAvt.plistファイルを削除してください。