Mac マルウェア「Backdoor.MAC.Eleanor」について知っておくべきこと
Backdoor.MAC.Eleanor とは何ですか?
Backdoor.MAC.Eleanor は、ドラッグ アンド ドロップ ファイル コンバーターを装う EasyDoc Converter と呼ばれる悪意のあるサードパーティ アプリから発生する新しい OS X/macOS マルウェアです。
EasyDocコンバータとは何ですか?
「EasyDoc Converter.app」は、ドラッグ アンド ドロップ ファイル コンバーターのふりをするサードパーティの Mac アプリです。アプリには次のような偽の説明があります。
EasyDoc Converter は、OS X 用の高速でシンプルなファイル コンバータです。ファイルをアプリにドロップするだけで、FreeOffice (.fof) および SimpleStats (.sst) ドキュメントを Microsoft Office (.docx) に即座に変換できます。 EasyDoc Converter は、ファイルを一般的な Microsoft 形式にすばやく変換するためのシンプルなツールを探している従業員や学生に最適です。 EasyDoc Converter を使用すると、シンプルでクリーンなドラッグ アンド ドロップ インターフェイスを使用して、すぐに作業を開始できます。変換されたドキュメントは、元のファイルと同じディレクトリに保存されます。
EasyDoc Converter は以前、ソフトウェア ダウンロード Web サイト MacUpdate で入手できましたが、このアプリは 7 月 5 日までに 削除され ました。オンラインの他の場所でダウンロードできるままになる可能性があります。このアプリは Mac App Store からは入手できませんでした。
このアプリは、シェル、Perl、Python、または Ruby スクリプトからネイティブ Mac アプリに使用される開発者ツールである Platypus を使用して作成されました。
Backdoor.MAC.Eleanor はどのように配布されますか?
Backdoor.MAC.Eleanor は、EasyDoc Converter がインストールされている Mac に感染します。このアプリは、システムの起動時に登録される悪意のあるスクリプトをインストールし、攻撃者が感染した Mac に匿名でアクセスできるようにします。
Backdoor.MAC.Eleanor は私の Mac をどのように危険にさらしますか?
Backdoor.MAC.Eleanor は、Tor が生成したアドレスを介して、Web サービスと呼ばれる PHP ベースのローカル Web サーバーを介して、感染した Mac へのリモートからの完全な匿名アクセスを攻撃者に提供する Tor の隠し サービスを作成します。
攻撃者は、Web ベースのコントロール パネルを通じて、ファイルにアクセスして変更したり、シェル コマンドを実行したり、iSight や FaceTime Web カメラから画像やビデオをキャプチャしたりすることができます。
ファイルマネージャー (ファイルの表示、編集、名前変更、削除、アップロード、ダウンロード、およびアーカイブ)
・コマンド実行(コマンドの実行)
スクリプト実行 (PHP、PERL、Python、Ruby、Java、C でスクリプトを実行)
バインド/リバースシェル接続によるシェル(リモートでrootコマンドを実行)
シンプルなパケット クラフター (ファイアウォール ルール セットを調査し、ターゲットのシステムまたはネットワークへのエントリ ポイントを見つける)
データベースの接続と管理
プロセス リスト/タスク マネージャー (実行中のプロセスとアプリのリストにアクセス)
? 添付ファイル付きのメールを送信する
Tor の隠しサービスとは何ですか?
Tor は、 オニオン ルーティング として知られる、コンピュータ ネットワーク上での匿名通信を可能にするフリー ソフトウェアです。このソフトウェアは基本的に、ネットワーク トラフィックがソース IP アドレスに遡ることができないように、コンピュータのネットワークを介してネットワーク トラフィックを再ルーティングし、ユーザーが身元を特定されることなくインターネットを閲覧できるようにします。
Tor の隠しサービスは、匿名ネットワーク経由でルーティングされる場合にのみ受信接続を受け入れるように構成された Web サイトまたはサーバーです。隠れたサービスには、XXXpaceinbeg3yci.onion などの「オニオン」アドレスを介してアクセスされ、攻撃者はこれに接続して、感染した Mac をリモート制御することができます。
どの Mac が影響を受けますか?
MacUpdate には、EasyDoc Converter のシステム要件として、OS X 10.6 (Snow Leopard) 以降を実行する Intel ベースの Mac が記載されています。 OS X Snow Leopard は、少なくとも 1 GB の RAM と 5 GB の空きディスク容量を備えた Mac と互換性があります。
これにより、Backdoor.MAC.Eleanor は、2007 年中期以降の MacBook モデル、すべての MacBook Air および MacBook Pro モデル、2007 年中期以降の Mac mini および iMac モデル、およびすべての Mac Pro モデルに感染する可能性があります。
左上の macOS メニュー バーにある Apple ロゴをクリックし、[この Mac について] を選択して、Mac のモデルを特定します。
Backdoor.MAC.Eleanor から身を守るにはどうすればよいですか?
最も重要かつ明白な予防策は、どのソースからでも「EasyDoc Converter.app」をダウンロードしないことです。身元不明の開発者が提供した見慣れないアプリをインストールすると、ほとんどの場合、セキュリティ リスクが発生します。
Apple のデフォルトの Gatekeeper セキュリティ設定により、警告ダイアログを無視して、[システム環境設定] > [セキュリティとプライバシー] でアプリを手動で開かない限り、EasyDoc Converter は開くことができません。
Mac ユーザーは、 BlockBlock などの信頼できるマルウェア対策アプリをダウンロードすることもできます。このアプリは、一般的な永続化の場所を継続的に監視し、永続化コンポーネントがシステムに追加されるたびにアラートを表示します。
EasyDoc Converter をすでにインストールしているユーザーは、Backdoor.MAC.Eleanor を検出して削除するように すでに更新されている マルウェア対策ソフトウェア Malwarebytes をダウンロードできます。
Apple はこのマルウェアにどのように対処するのでしょうか?
Apple は、EasyDoc Converter をブロックするために「Xprotect」マルウェア対策システムをアップデートする可能性があります。
