新ウイルス ZIP配布 拡張子とアイコン偽造 ダブルクリック 実行 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
http://news.mynavi.jp/news/2016/07/09/031/
ESETは7月6日(米国時間)、「New OSX/Keydnap malware is hungry for credentials」において、
バックドアとして動作するとともにキーチェーンアクセスから認証情報などを
摂取するMacをターゲットとした新しいマルウェア「OSX/Keydnap」について伝えた。
マルウェア「OSX/Keydnap」はZIPファイルの形式で配布されており、
メッセージなどに添付される形で広まっているとされている。
ZIPファイルを展開すると中から画像(.jpg)ファイルやテキスト(.txt)ファイルの
ように見えるファイルが展開されてくる。しかし、このファイル名の最後には
空白が1つ含まれており、実際の拡張子は別のものになっている。
アイコンデータが偽装されているため、実行ファイルであることに気がつきにくく、
中身を見ようとしてダブルクリックしてしまうとマルウェアが実行されてしまう仕組みになっている。
実際にはシェルで実行される実行ファイルであるため、ダブルクリックすると
一瞬だけターミナルアプリが起動してくる。しかし、すぐに終了してしまうため
実行されたことに気がつかず、ダミーで表示される画像やテキストの表示を
見て感染に気がつけない可能性がある。実行されるのはダウンローダになっており、
ほかのマルウェアをダウンロードしてバックドアとして機能するとともに、
キーチェーンアクセス経由でパスワードなどの情報を窃取していくようになる。 >>2
いやね、こんな手口が使えるのはWindowsだけだと
思っていたんですよ。 そろそろ無料のウイルス対策ソフトじゃなくて有料のウイルス対策ソフトも必須になりそうやね Mac使っててテキストや画像の中身確認する時にダブルクリックするのか?
クイックルックで実行されるなら脅威だが まぁこういうこともあろうかと、
キーチェーンにセーブする機能は一切使ってないけどね。 >>6
それだとサンドボックスで保護効くね>クイックルック そうだね
ZIPファイルのほうを偽装すればいいのに >>10
怪しくないものを一段かますことで、
間違えやすくしてるんだよ キーチェーンのような重要な情報にアクセスするには管理者パスワードが必要な気がするけど、
シェルプログラムだと要求されないものなの?
あるいは、バックグラウンドプロセスとしてキーチェーンに入っていく情報を横から盗み取るとか? 今回あてはまるかわかんないけど
キーチェーンの個々のパスワードを常にアクセス許可にしてるとターミナルでsecurityコマンド使ってもダイアログ出ない
security find-internet-password -g -s www.amazon.co.jp ログを見ると、
Safari[941]: KeychainGetICDPStatus: status: off
Safari[941]: KeychainGetICDPStatus: keychain: -25300
とかいうのがやたらあるんだけど感染したのかこれ? うちも出てる
Safariの起動時に出るようだ
感染はないだろ ということは、Esetのウイルス対策ソフト入れてたら大丈夫ってこったろ? ■ このスレッドは過去ログ倉庫に格納されています
