ソフトウェア

世界中のMacに感染中のマルウェア「iWorm」が数万台規模のボットネットを形成していることが判明

By Wendy Seltzer

セキュリティソフト「Dr.WEB」を開発するDoctor Webは、世界中にある少なくとも1万7000台のMacがマルウェア「Mac.BackDoor.iWorm(iWorm)」に感染していることを明らかにしました。iWormに感染したMacはボットネットを形成していて、マルウェア開発者からの攻撃命令を待っている状態とのことです。

New Mac OS X botnet discovered — Dr.Web - innovation anti-virus security technologies. Comprehensive protection from Internet threats.
http://news.drweb.com/show/?i=5976

Mac.BackDoor.iWorm - Google Docs
https://docs.google.com/document/d/1YOfXRUQJgMjJSLBSoLiUaSZfiaS_vU3aG4Bvjmz6Dxs/edit

Apple Updates Malware Definitions to Protect Against Botnet Threat Coordinated Via Reddit - Mac Rumors
http://www.macrumors.com/2014/10/04/iworm-malware-xprotect/

Doctor Webによると、「iWorm」はC++とLuaを使って開発されたマルウェアで、iWormは起動するとまずバックグラウンドでMacのポートを開放して、その後、匿名掲示板redditにアクセスして、アクセス時点の日付をMD5変換し、その先頭の8バイト分の値でredditの「Minecraftサーバー情報」スレッドのコメント欄からコントロールサーバーのIPアドレス・ポート番号のリストを検索してダウンロードするとのこと。


iWormがこのような手段でコントロールサーバーの情報を取得する理由は、攻撃元であることが判明してサーバー停止させられることを想定してサーバーを次々と変更させるのに対応できるようにするためだと見られています。

これは、Doctor Webが発見したiWormに感染するMacのユニークIPアドレス数の国別データ。合計が1万7658台で、その内訳はアメリカが4610件(26.1%)、次いでカナダ1235件(7.0%)、イギリス1227件(6.9%)、スペイン825件(4.7%)と欧米諸国で感染例が多いことが分かります。


Doctor WebがiWormの情報を公開した後、iWormには亜種を含めて4種類のマルウェアがあることが分かりました。さらにredditの有志がiWormの感染経路の特定作業を開始したところ、PirateBayというBitTorrentのトレントファイル配信サイト経由で配布されたAdobe Illustrator CS6・Photoshop CC2014・Microsoft Office 2011などの海賊版ソフトにパッケージされていたものから広まったことが判明しています。


なお、iWorm入りの実行ファイルをインストールしようとすると「unidentified developer(身元の明らかでない開発者)」という警告が出るとのこと。感染した人はこの警告に動じることなく「OK」をクリックした模様。


さらにredditからサーバー情報をダウンロードするのでファイアウォールも反応するはずなのに、感染者は「Allow(承認)」した結果、ボットネットと化したと見られています。


このようなiWormの広がりを受けて、AppleはOS X(Snow Leopard)から導入されたウイルス・マルウェア定義データベース「XProtect.plist」に2種類のiWormを追加したことが明らかになっています。


従来、ウイルスやマルウェアは主にシェアの大きなWindowsマシンをターゲットにしており、シェアの小さなMacは標的にはされにくいという傾向がありました。この時代には、Macの優位性をアピールする以下のようなCMが作られていました。

Japanese Get A Mac CM 7 Subtitled "Security" - YouTube


ラーメンズ AppleCM - YouTube


しかし、iPodやiPhoneの人気に伴ってMacの人気も高まりシェアが増加したことで、悪意あるハッカーのターゲットにされることが増えていると考えられます。どうやら「Macならウイルスやスパイウェアの心配はなし」という時代は完全に終わりを告げたようです。

・関連記事
Mac用アンチウイルスソフト18種類のウイルス検出率をテスト、最も検出率が高かったのは? - GIGAZINE

Yahoo!の広告からマルウェアが送り込まれて何千人も感染する事態が発生 - GIGAZINE

スマホにマルウェアを感染させ個人の行動を監視する政府向けのサービス「Galileo」の存在が明らかに - GIGAZINE

アップルのApp Storeにマルウェア認定されたアプリが初出現 - GIGAZINE

Googleの広告サーバ「DoubleClick」がマルウェアを配信していた - GIGAZINE

97%の企業がセキュリティ対策をしてもマルウェアに侵入されている - GIGAZINE

Androidスマホの写真やムービーを暗号化し「人質」にして身代金を要求するマルウェアが発見される - GIGAZINE

in ソフトウェア,   動画,   メモ, Posted by logv_to