AppleのMacを標的とした、新たなタイプの中間者攻撃が確認されました。OSX/DOKと呼ばれるこの攻撃は、偽のセキュリティ証明書を利用してAppleのGatekeeperによる保護を回避する、macOSを標的とした新たなマルウェアです。現在、一般的なウイルス対策プログラムはOSX/DOKを検出できません。
Hacker NewsとCheckPointの研究者によると、このマルウェアはAppleが署名した有効な開発者証明書を使用することで、macOSの全バージョンに影響を与えるとのことです。OSX/DOKの仕組み、影響の有無の確認方法、そして今後この種の攻撃から身を守るためにできることについて解説します。
OSX/DOKとは何ですか?
OSX/DOK は、電子メール フィッシング キャンペーンを通じて配布される新しいタイプのマルウェアです。
これは特にMacユーザーを標的に設計されています。OSX/DOKはすべてのmacOSバージョンに影響を及ぼし、ほとんどのウイルス対策プログラムによる検出を回避します。Apple認証済みの有効な開発者証明書で署名されているため、macOSのGatekeeperセキュリティ機能による検出も回避できます。
OSX/DOK はどのようにして Mac に侵入するのでしょうか?
マルウェア バンドルは、「Dokument.zip」という名前の .ZIP アーカイブに含まれています。
実行されると、マルウェアはまずMacの/Users/Shared/フォルダに自身をコピーし、そこから実行を開始します。その後、中間者攻撃によってトラフィックを傍受するための新しいルート証明書をインストールします。マルウェアは、再起動前にペイロードのインストールを完了させるため、「AppStore」というmacOSログイン項目に自身を追加します。
次に、下のスクリーンショットにあるように、macOSの警告を装った永続的なウィンドウがユーザーに表示されます。このウィンドウは、Macにセキュリティ上の問題があり、アップデートが必要であることをユーザーに通知します。このメッセージにより、ユーザーは偽のアップデートプロンプトに同意するまで、コンピュータ上で一切の操作ができなくなります。
「すべて更新」ボタンをクリックすると、パスワードの入力を求める別のプロンプトが表示されます。
パスワードが入力されると、マルウェアは Mac の管理者権限を取得します。
これらの権限を利用して、ダークウェブへの接続を可能にするコマンドラインツールをインストールします。その後、ネットワーク設定を変更し、すべての送信接続を悪意のあるプロキシサーバーにリダイレクトします。これにより、攻撃者はユーザーの通信を盗聴できるようになります。
マルウェア拡散に使用されたフィッシングメッセージの一部は、主にドイツのユーザーを標的としているようですが、ヨーロッパのユーザーだけが危険にさらされているわけではありません。ちなみに、マルウェアのコードはドイツ語と英語の両方のメッセージに対応しています。
OSX/DOK はどのような損害を与えますか?
OSX/Dokは、悪意のあるプロキシサーバー経由でトラフィックをリダイレクトし、SSL暗号化通信を含むすべての通信に悪意のあるユーザーがアクセスできるようにします。システムに侵害されたルート証明書をインストールするため、攻撃者は任意のウェブサイトになりすまし、ユーザーを騙して銀行アプリや人気のオンラインサービスのパスワードを入力させることができます。
影響を受けているかどうかを知るにはどうすればいいですか?
最近、予期せぬメール内のZIPファイルを開いてしまい、Macのパスワードを求める不審なプロンプトが表示されるようになった場合は、システムがOS X/DOKに感染している可能性があります。このマルウェアはネットワークトラフィックを不正なプロキシサーバーにリダイレクトするため、「システム環境設定」→「ネットワーク」を開いて確認することをお勧めします。
そこから、左側の列でアクティブなネットワーク接続(Wi-Fi、イーサネットなど)を選択し、「詳細設定」ボタンをクリックします。次に、 「プロキシ」タブをクリックします。
左側の列で自動プロキシ構成が有効になっていて、プロキシ構成ファイルという見出しの下のフィールドが「127.0.0.1:5555」で始まる URL を指している場合、マルウェアはすでにすべてのトラフィックを不正なプロキシ サーバー経由でルーティングしています。
トラフィックのルーティングを防ぐには、このエントリを削除するだけです。
マルウェアは、システムの起動時に起動する 2 つの LaunchAgent をインストールします。
- /Users/あなたのユーザー名/ライブラリ/LaunchAgents/com.apple.Safari.proxy.plist
- /Users/あなたのユーザー名/ライブラリ/LaunchAgents/com.apple.Safari.pac.plist
上記の場所でこれらのファイルが見つかった場合は、すぐに削除してください。
最後に、/Applications/Utilities/ フォルダ内のキーチェーン アクセス アプリのシステム セクションで、「COMODO RSA Extended Validation Secure Server CA 2」という名前の偽の最も安全な証明書が存在するかどうかを確認します。
証明書が Mac にインストールされている場合は削除します。
自分を守るにはどうすればいいですか?
OSX/DOK は、組織的な電子メール フィッシング キャンペーンを通じて Mac ユーザーをターゲットとする初の大規模マルウェアです。
最初の攻撃は、ユーザーがメールメッセージ内の悪意のある添付ファイルを開くことにあります。特に「Dokument.ZIP」というファイル名の添付ファイルは開かないでください。アニメーションGIFが添付されたフィッシングメールや、確定申告書の不一致を装うメールにはご注意ください。
送信者の有効性を確認するために、必ずヘッダーを確認してください。
マルウェアファイルがシステムに侵入した場合、有効なmacOSダイアログを装った不審なプロンプトには絶対にアクセスしないでください。特に、ルートパスワードの入力を理由もなく要求された場合は注意が必要です。Appleは、Macのソフトウェアアップデートが必要な場合でも警告メッセージを表示することはありません。macOSのソフトウェアアップデートはすべて、Mac App Store経由でのみ配布されます。
ウイルス対策アプリを使用する場合は、署名データベースを手動で更新してください。
本稿執筆時点では、DOK OS Xマルウェアに対応したシグネチャデータベースを更新したアンチウイルスベンダーは存在しませんが、状況は間もなく変化するでしょう。このマルウェア問題は、AppleがGatekeeperセキュリティ機能を回避するために悪用した偽のセキュリティ証明書を失効させ次第、完全に解決されるでしょう。
出典: The Hacker News、CheckPoint
