WindowsマルウェアがMac OS Xシステム向けに適応されて野生で発見

研究者たちは、Windowsで使用されている5年前のバックドアプログラムからの新しいコードを分析しており、それがMac OS Xシステムを侵害するために設計されたスパイウェアプログラムに統合されていることを発見しました。研究者によってXSLCmdと名付けられたこのOS Xマルウェアは、8月10日にVirusTotalで確認されました。他のアンチウイルスはまだこれを検出することに成功しておらず、著者がより複雑なコーディングを使用していることを確認しています。

主要なセキュリティ研究会社であるFireEyeは、このマルウェアに関するブログ投稿で、マルウェアコードがPowerPCおよび64/86ビットCPUアーキテクチャと互換性があると述べています。インストールルーチンに加えて、バックドアも存在し、親プロセスが実行されるとすぐに実行されます。

“バックドアコードは、過去数年間にターゲット攻撃で広く使用されてきたWindowsバックドアからOS Xに移植され、多くの更新が行われてきました”

バックドアに存在する機能には、リバースシェルを開くことや、ファイルを表示してリモートの場所に転送すること、自己更新ルーチンを実行すること、他の実行可能ファイルをインストールすることが含まれます。FireEyeは、Windows版と比較して、OS X版は被害者のキーストロークやコンピュータ画面を記録することで監視を可能にする機能が強化されていると述べています。これに加えて、これまで検出されていないという事実は、非常に経験豊富なマルウェア作成者を示唆しています。

研究者たちは、XSLCmdバックドアがサイバー諜報活動に使用されていると考えています。研究者たちはサイバー犯罪者をGREFとして特定しました。このチームはサイバー諜報に特化しており、2009年から活動しています。彼らは、2011年から現在まで、米国防衛産業基盤や世界中の電子機器および工学企業をハッキングしたグループの一つです。このグループに国家の関係者が含まれているかどうかは不明です。

Appleのコンピュータやノートパソコンの人気が高まる中、これは親会社にとって新たな頭痛の種となります。これまでMacマシン向けのマルウェアは少なく、まばらでした。Windowsマルウェアを他のオペレーティングシステムに移植することは、複雑でも新しい実践でもありません。Mach-O実行可能ファイルの形を取り、バックドアは「$HOME/Library/LaunchAgents/clipboardd」にコピーされ、被害者がログインするとすぐにコンピュータの再起動時に脅威が起動することを保証するファイルをフォルダ内に作成します。

インストールプロセス中、マルウェアはオペレーティングシステムのバージョンをチェックし、10.8（Mountain Lion）以上のバージョンは考慮されていないようです。これは、著者がこのOS Xのエディションを実行している被害者をターゲットにしたか、またはこの作品が特にMountain Lion用に作成されたことを示唆している可能性があります。

FireEyeは、この脅威の背後にいるサイバー犯罪者/サイバーギャングが「高度な」だけでなく「適応的」であると考えています。彼らは、被害者が採用した新しいオペレーティングシステムとの互換性を達成し、感染したマシンでの持続性を得ることに成功しています。

XSLCMDに関する完全な記事はここで読むことができます