WireLurkerはiOSとMacだけでなくWindows PCにも脅威をもたらす

Table Of Contents

• WireLurker for Windows
• Windows Version considered as the Earliest variant of WireLurker
• How the WireLurker Spreads

WireLurker for Windows

AlienVaultの研究者は、Windowsデバイスを使用して広がる古いバージョンのWireLurkerを発見しました。AlienVault LabsのJaime Blascoは、このWireLurkerのバリアントを発見し、Palo Alto Networks Incに通知し、その後、このマルウェアのWindowsバリアントに関する新しい報告を再発表しました。

以前の研究論文では、WireLurkerがOS Xアプリケーションを使用してiOSデバイスに感染させていると述べられており、マルウェアのWindowsバージョンに関する詳細はありませんでした。

Windows Version considered as the Earliest variant of WireLurker

WireLurkerのWindowsバリアントは、Palo Alto Networkの報告によると、「ekangwen206」というユーザーによってBaidu YunPan（Baiduの公共クラウドストレージサービス）を通じて配布されました。

このユーザーによって247ファイルがアップロードされ、その中には180のWindows実行ファイルと67のOS Xアプリケーションが含まれており、Mayaidi Appストアの感染のほぼ1ヶ月前の3月12日と13日にアップロードされました。これらのファイルのほとんどは、Facebook、Whatsapp、Instagram、Twitter、iBooks、iMovies、Calculator、Keynote、Flappy Birdなどの人気アプリの海賊版を通じて広がっており、その中にWireLurkerが隠されていました。これらのファイルは合計で65,213回ダウンロードされ、そのうち約97.7%がWindowsサンプルのダウンロードでした。

How the WireLurker Spreads

被害者がWindowsデバイスでファイルをダウンロードして実行すると、Apple Chinaの公式サイトからiTunesをダウンロードするように求められます。すでにインストールされている場合、iTuneのインターフェースには「iOSデバイス接続待機中」というメッセージが表示され、被害者がデバイスを接続し、iOSアプリの海賊版をインストールすると、マルウェアもインストールされますが、これは脱獄されたiOSデバイスのみに限られます。

後者は、盗まれたデータを同じコマンド＆コントロールサーバーに送信し、Maiyadiアプリストアを使用して更新を確認する点で、Mac OS Xの子孫に非常に似ています。

Palo Alto Networksは、すでにAntivirus、ISP、および他のセキュリティベンダー向けにWireLurker検出のための製品を更新するためのアップデートを公開しています。

WireLurkerは、Githubで公開されたオープンソースコードを使用して検出することもできます https://github.com/PaloAltoNetworks-BD/WireLurkerDetector