2015年9月22日

株式会社Doctor Web Pacific

9月を通して、Doctor WebではWindowsコンピューター上にアドウェアや望まないプログラムをインストールするトロイの木馬について多くのニュースを掲載してきました。しかし、サイバー犯罪者は他のOSに対する関心を失ったわけではありません。今回、Doctor Webセキュリティリサーチャーによって発見され Adware.Mac.WeDownload.1と名付けられたアドウェアはMac OS Xを標的としていました。

Doctor Webウイルスラボにて解析された Adware.Mac.WeDownload.1の検体はAdobe Flash Playerのディストリビューションパッケージを装い、"Developer ID Application: Simon Max (GW6F4C87KX)"というデジタル署名を持っていました。このダウンローダはファイルのダウンロードによって収益を上げるアフィリエイトプログラムから拡散されていました。

Adware.Mac.WeDownload.1は起動されるとユーザーに対して管理者権限を要求し、3台のC&Cサーバーに対して立て続けにリクエストを送信することで、アプリケーションメイン画面のデータを取得します。サーバーのアドレスはダウンローダのボディ内にハードコードされています。いずれのサーバーも応答しなかった場合、ダウンローダは動作を停止します。サーバーから応答を取得した場合、Adware.Mac.WeDownload.1はダウンローダの設定データをJSON（JavaScript Object Notation）フォーマットで含んだPOSTリクエストをC&Cサーバーに送信し、メイン画面のコンテンツを含んだHTMLページを受け取ります。ダウンローダは、以後のGETおよびPOSTリクエストに、特別なアルゴリズムに基づいて生成された現在時刻とデジタル署名を追加します。

プログラムの種類や合計数は被害者の位置情報によって異なります。アプリケーションリストが空だった場合、ユーザーは元々ダウンロードしようとしていたアプリケーション以外のインストールを促されることはありません。

Doctor WebではMacユーザーに対し、信頼できるソースからのみアプリケーションをダウンロードするよう推奨しています。Adware.Mac.WeDownload.1のシグネチャは既にDr.Web for Mac OS Xのウイルスデータベースに追加されています。そのため、Dr.Webユーザーに危害が及ぶことはありません。