ソフトウェア

Macユーザーが認識不能なほど瞬時にKeychainへのアクセス許可を与える極悪アドウェアが発見される


Mac OSのパスワード管理システム「Keychain」には、ソフトウェアのインストール前にKeychainリストへのアクセス許可を与えて良いかどうかをポップアップ表示してユーザーに確認する機能があります。しかし、このポップアップに対してアクセス許可を無断でかつユーザーが認識できないほど爆速で行うマルウェアが発見されました。

Genieo installer tricks keychain | Malwarebytes Unpacked
https://blog.malwarebytes.org/mac/2015/08/genieo-installer-tricks-keychain/

Macユーザーに無断でSafariのスタートページを変更したり、デフォルトの検索エンジンを変更したり、ターゲット広告を表示したり、フォーム情報を外部に送信したりするとして悪名高い拡張機能「Genieo」があります。このマルウェアGenieoはソフトウェアインストールパッケージにひっそりと仕込まれていることが多く、ユーザーは別のソフトウェアをインストールする際に、いつの間にかGenieoをインストールしてしまうという例が多く報告されています。

そのGenieoが進化して、ユーザーに無断でKeychainへのアクセス許可を与える機能を獲得したことがセキュリティ対策会社Malwarebytesによって報告されています。Malwarebytesによると、新型のGenieoは、ソフトウェアのインストール時に、Keychainへのアクセス許可を与えるプロンプトを表示させ、目にもとまらない速さで「Allow(許可)」をクリックし、何が起こったのかユーザーが分からないうちにKeychainのアクセス許可を与えるとのこと。

実際にDownload Shuttleというソフトウェアのインストーラーパッケージに仕込まれたGenieoがKeychainへのアクセス許可を爆速で獲得する様子は以下の3秒のムービーで確認できます。

DownloadShuttle installer - YouTube


Download Shuttleのインストール作業中に……


突然ポップアップ表示されたKeychainへのアクセス許可を与えて良いかを確認するプロンプト。


ポップアップ表示と同時にマウスカーソルが「Allow」に移動してクリック。


何が起こったのか分からないうちに、Keychainへのアクセス許可が与えられてしまいました。


Malwarebytesの分析によって、このインストーラーには許可ボタンを無断でクリックするコードが含まれているのが確認されています。


なお、Malwarebytesによると、すでに長年にわたってユーザーのSafariに無断で拡張機能をインストールすることに成功してきたGenieoにとって、今回発見されたKeychainのアクセス許可を獲得する機能は、一見不必要なハッキング機能であるように思われるとのこと。しかし、次期OS「OS X 10.11 El Capitan」でSafariの拡張機能の取り扱いが変更されることを見越して、その変更を回避するためのバージョンアップではないかとMalwarebytesは考えています。

さらに、Genieoの持つKeychainのアクセス許可を獲得する機能をほんの少し改造することで、iCloudのパスワードなどの情報をKeychainから盗み出すことも可能だろうとMalwarebytesは述べています。

・関連記事
Macの新しいOS Xは「El Capitan」、公開された新機能アレコレ - GIGAZINE

MacのThunderboltアクセサリー経由で感染が広がり検知・除去の困難な「Thunderstrike2」 - GIGAZINE

Macのスリープモード復帰時にハッカーに侵入される深刻なバグ - GIGAZINE

世界中のMacに感染中のマルウェア「iWorm」が数万台規模のボットネットを形成していることが判明 - GIGAZINE

Mac用アンチウイルスソフト18種類のウイルス検出率をテスト、最も検出率が高かったのは? - GIGAZINE

MacにWindows 10をインストールするための最新「Boot Camp」をAppleが公開、対応端末やサポート機能も判明 - GIGAZINE

in ソフトウェア,   動画, Posted by logv_to