偽のSymantecブログがMacのマルウェア配布

headless曰く、　偽のSymantecブログを通じ、Macのマルウェア「OSX.Proton」の亜種が配布されていたそうだ（Malwarebytes Labs、HackRead、本物のSymantec Blogs）。

　このブログは「symantecblog.com」というドメインで運営されており、本物のSymantecブログのコンテンツをミラーリングするなど巧妙な作りになっていたという。Whois情報を見ると組織名はSymantec Corporation、住所はSymantec本社のものになっているが、レジストラントの連絡先電子メールアドレスはフリーメールのものが使われている。さらに、証明書はSymantec発行のものではなく、Comodoが発行したものを使用していたとのこと。

　マルウェアが配布されていたのはCoinThiefマルウェアの亜種が新たに発見されたという偽ブログ記事だ。CoinThiefは2014年に発見されたBitcoin関連のログイン情報を盗み出すマルウェアだが、Malwarebytesによると新種が発見されたという情報はなく、記事そのものが虚偽の内容とみられる。

　偽ブログ記事には「Symantec Malware Detector」という偽プログラムのリンクが用意されており、このプログラムをダウンロードしてインストールするとマルウェアに感染する仕組みになっていたそうだ。偽プログラムを実行するとSymantecロゴ入りのダイアログボックスが表示され、「Check」をクリックすると管理者アカウント名とパスワードの入力が求められる。

　認証情報を入力するとスキャン中を示すプログレスバーが表示されるが、実際にはProtonマルウェアがインストールされ、管理者アカウント情報や個人を特定可能な情報のほか、KeychainファイルやマスワードマネージャーのVault、GPGパスワードなどを収集し始めるとのこと。

　既に偽ブログのWebサイトはブロックされているが、該当記事へのリンクがTwitterを通じて拡散していたそうだ。一部は偽アカウントから投稿されていたが、本物とみられるアカウントからの投稿もみられたという。マルウェアが収集したパスワードを悪用して投稿された可能性も指摘されているが、偽ブログ記事を本物と信じたユーザーが投稿した可能性もある。

　スラドのコメントを読む | アップルセクション | セキュリティ | MacOSX

　関連ストーリー：
ウイルス対策プログラムの検疫機能を悪用してローカルでの権限昇格を可能にする攻撃 2017年11月15日
WikiLeaksがソースコードを公開したCIAのハッキングツール、カスペルスキーの偽証明書を生成するサンプルも 2017年11月12日
Google Chromeの追加フォントダウンロードに見せかけた攻撃が確認される 2017年02月25日
KasperskyのサイトにSQLインジェクション攻撃仕掛けられる 2009年02月10日