狙われるMac OS: クロスプラットフォームなJavaボットネットが拡散中

これまでマルウェアは、できるだけ多くの人に影響を与えるために、Windowsを主なプラットフォームとして作成されてきました。しかし、他のプラットフォームの人気が高まるにつれ、サイバー犯罪者はWindows以外のプラットフォームを対象とする悪性コード作りに着手し始めました。

プラットフォームの中でも特にサイバー犯罪者の注目を浴びているのが、Mac OSです。先日McAfee Labsでは、珍しい偽セキュリティソフトのMac版を確認しました。

しかし、Macを脅かす脅威は、偽セキュリティソフトに留まりません。現在、最も注意すべき脅威は、Javaを使用したWindowsとMacで実行可能なクロスプラットフォームマルウェアです。この種のマルウェアは、マルチプラットフォームのJava仮想マシンで実行できます。「IncognitoRAT」は、発見された拡散中のJavaベースのトロイの木馬の一例で、別のコンポーネントによってダウンロードされ、インストールされるものです。このマルウェアは、ほかのWindowsボットネットと同じような動きをしますが、使用するのは、ほかのプラットフォーム上で作動可能なソースコードやライブラリーです。

IncognitoRATの本来の繁殖ベクトルはWindows実行ファイルですが、JarToExeというツ―ルを使用して作成されているのは明白です。特に、.jarファイルを.exeファイルに変換して、プログラムアイコンやバージョン情報の追加、Javaプログラムの保護と暗号化を行う機能が盛り込まれています。このマルウェアに感染すると、PCにはJava Runtime Environmentがインストールされ、ネットワークに接続されます。このファイルは、実行されると同時にZIPファイルとJavaベースのライブラリー1組をダウンロードし始め、以下のようなリモートアクティビティを実行します。

  • Java Registry Wrapper:WindowsレジストリーにアクセスしてSoftware\Microsoft\Windows\CurrentVersion\Runにエントリーし、コンピューターを起動するたびにマルウェアを実行
  • Java Remote Control:感染マシン(のマウスやキーボード)を表示し、遠隔操作
  • JLayer – MP3 Library:感染マシン上でMP3ファイルを遠隔再生
  • RNP-VideoPlayer:動画を遠隔再生
  • JavaMail:盗んだ情報を、あるメールアカウントに送信するためのオプションのJavaパッケージ
  • Freedom for Media Java:公式Java Media Frameworkのオープンソースの代替方法。リモートWebカメラの画像を監視・記録するために、マルウェアが使用

これらのライブラリーに加えて、ダウンローダーはJavaUpdater.jarという.jar コンポーネントを投下します。これは、感染PC上にすべてのコンポーネントを配置するためにマルウェアが作成するディレクトリの暗号を解読するもので、TripleDES暗号化と暗号解読方法を実行します。最後に、コンポーネントが、Windows上のJavaアプリケーションを実行するためのよくある指示(java -jar %malwarepath%/Server.jar)を使用して、マルウェアserver.jarを実行します。

Server.jarは、感染PCのキーボードをフックするために設計されたDLLを使用してバックグラウンドでキーストロークを収集します。また、上述のライブラリーを使用して、キーストロークをテキストファイルに取り込んだものを、FTPサーバーやメールアカウントに送信したり、制御サーバーからのコマンドに従って、リモートWebカメラの監視・記録、DDoS攻撃の実行、PC のリモート制御を行ったりします。なお分析中に、コンポーネントが投下されたファイルの中に以下の画像を発見しました。IncognitoRATには、システムが「クラッシュ」したように見せかける、偽のクラッシュ機能も搭載されているようです。

公開された情報によると、この悪性コードはWindows、Mac OS X、iPhone/iPadで利用可能です。ただし、拡散中のダウンローダーやドロッパーでMcAfee Labsが確認したことがあるのは、PCバージョンだけです。マカフィー製品では、このマルウェアを、マカフィーの最新DATにおいてJV/IncognitoRATという名前で検出します。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速