2015年2月27日

株式会社Doctor Web Pacific

Doctor Webでは、Mac OS Xを標的とする危険なバックドアトロイの木馬の新たなバージョンであるMac.BackDoor.OpinionSpy.3について分析を行いました。この悪意のあるプログラムはMacユーザーをスパイする目的を持ち、ユーザーの開いたwebページに関する情報を集めて犯罪者に送信したり、コンピューターのネットワークカードを経由するトラフィックを分析、インスタントメッセージングプログラムから送られたネットワークパケットを傍受するほか、複数の危険な動作を実行します。

Mac.BackDoor.OpinionSpyプログラムは2010年より情報セキュリティエキスパートに知られていましたが、先頃その新たな亜種がDoctor Webウイルスラボに登場し、Mac.BackDoor.OpinionSpy.3と名付けられました。

Mac.BackDoor.OpinionSpy.3は3段階のスキーマを用いて拡散されます。Mac OS X向けのあらゆるソフトウェアを提供する各種webサイトには一見無害なプログラムがありますが、それらと一緒にpoinstallファイルが配布され、インストールと同時に起動します。そのようなアプリケーションのインストール中に、ユーザーがそれらに対して管理者権限を与えてしまうと、poinstallは一連のPOSTリクエストを犯罪者のサーバーへ送信し、応答として.osa 拡張子を持ったパッケージをダウンロードするためのリンクを受け取ります。その中にZIPアーカイブが含まれています。poinstallはこのアーカイブを解凍し、PremierOpinionと呼ばれる実行ファイルと動作に必要な設定データを含んだXML ファイルを抽出した後プログラムを起動させます。

標的とするMac上で起動されると、PremierOpinionはC&Cサーバーに接続し、また別の.osa ペッケージをダウンロードするためのリンクを受け取ります。このパッケージから、同じPremierOpinionという名前を持った完全なアプリケーションが抽出されてインストールされます。このアプリケーションには複数の実行ファイルが含まれています。悪意のあるペイロードを持たないPremierOpinionプログラム、およびユーザーのMac OS X上で危険な動作を実行するPremierOpinionDバックドアです。

このトロイの木馬はインストール時に管理者権限を取得し、その権限を用いてシステム上で動作します。ユーザーがセットアップ時に権限を与えることに同意しなかった場合は、ユーザーがインターネットからダウンロードしたプログラムのみが、スパイコンポーネントを一切含まずにコンピューター上にインストールされます。

ユーザーが「同意する」を選択すると、ダウンロードしたアプリケーションと一緒にPremierOpinionがコンピューター上にインストールされます。メニューバーとインストールされたアプリケーションのリスト上にPremierOpinionのアイコンが現れます。

PremierOpinionのインターフェースは非常に簡潔です。

メニューバーのアイコンをクリックするとブラウザが立ち上がり、マーケティングリサーチツールとしてPremierOpinionを紹介するページが表示されます。しかし、このwebページには、このアプリケーションがユーザーのApple コンピューターに関する情報を収集しリモートサーバーへ送信していることについては一切書かれていません。

開発者は、PremierOpinionはユーザーのショッピング履歴をモニターしているだけであり、質問への回答を特別なフォームに入力してもらうことで時々マーケティングリサーチに参加してもらっているだけだと主張しています。実際はMac.BackDoor.OpinionSpy.3 の持つ機能はずっと幅広く、それらはC&Cサーバーから受け取った設定ファイルによって定義されます。このトロイの木馬は、プログラムの起動に失敗した場合やシステムが再起動した場合に自動的に起動されるよう/Library/LaunchDaemons/フォルダにインストールされます。続けてMac.BackDoor.OpinionSpy.3 はGoogle ChromeおよびMozilla Firefoxブラウザ内でユーザーの活動をトラッキングする特別なエクステンションをインストールし、ユーザーが訪問したサイト（データは指定されたルールセットに応じて収集されます）や開いたタブ、開いたリンクに関する全ての情報をC&Cサーバーへ送信します。また、Mac.BackDoor.OpinionSpy.3 は自身のライブラリをブラウザのプロセスやiChatに挿入し、ネットワーク機能を傍受するほか、Appleコンピューターのネットワークカード経由でやり取りされるトラフィックをモニターします。あらゆるEthernet インターフェース上のHTTPパケット、インスタントメッセージングクライアント（Microsoft Messenger、Yahoo! Messenger、AIM、iChat）のトラフィック、RTMPトラフィックがトラッキングされます。トロイの木馬のモジュールの1つはシステム上のハードドライブやマウントされる全てのメディアをスキャンするほか、ウイルス開発者の指定した条件に合致するファイルを検索し、それらのファイルをリモートサーバーへ送信する機能を備えています。さらに、このトロイの木馬はハードウェア設定や実行中のプロセスのリストなど感染したコンピューターに関する情報を犯罪者に送信し、ユーザーの操作なしに自身のアップデートをC&Cサーバーからダウンロードしインストールすることができます。Mac.BackDoor.OpinionSpy.3 はSafariのローカリゼーションモジュール動作を妨げるという点も注目に値します。

C&Cサーバーと情報をやり取りする際、Mac.BackDoor.OpinionSpy.3 はデータを暗号化することもあればプレーンテキストで送ることもあります。中でも特に、このトロイの木馬はユーザーが閲覧した動画に関する情報を収集して犯罪者に送信することが出来るという点に注意する必要があります。

Mac.BackDoor.OpinionSpy.3 のシグネチャは既にDr.Webウイルスデータベースに追加されています。Mac OS X ユーザーの方はインターネットからアプリケーションをダウンロードする際に十分に注意するようにしてください。

この脅威についての詳細（英語）