Macマルウェア開発に新たな何かが起きようとしている(またもや)。
最近のリサーチで、「Trojan-Downloader:OSX/Flashback.C」がAppleのOS Xビルトイン・アンチマルウェア・アプリケーション「XProtect」の自動アップデータコンポーネントを使用不能にすることが分かった。
まず「Flashback.C」は、ボディでハードコードされた「XProtectUpdater」ファイルのパスを解読する:
「Flashback.C」が「XProtectUpdater」のplistファイルのパスを解読
「Flashback.C」が「XProtectUpdater」バイナリのパスを解読
同マルウェアは次に、「XProtectUpdater」デーモンをアンロードする:
最後に同マルウェアは「XProtectUpdater」ファイルを" "キャラクタで上書きする:
「Flashback.C」が「XProtectUpdater」のplistファイルを上書き
「Flashback.C」が「XProtectUpdater」バイナリを上書き
上述の処理は特定のファイルを消去し、「XProtect」が今後のアップデートを自動的に受けれないようにする。
システムの防御手段を無効にしようとすることは、マルウェアでは非常に一般的な戦術だ。そしてビルトインの防御手段は当然、どのようなコンピューティングプラットフォームでも最初の標的となる。
Threat Solutions post by — Brod
最近のリサーチで、「Trojan-Downloader:OSX/Flashback.C」がAppleのOS Xビルトイン・アンチマルウェア・アプリケーション「XProtect」の自動アップデータコンポーネントを使用不能にすることが分かった。
まず「Flashback.C」は、ボディでハードコードされた「XProtectUpdater」ファイルのパスを解読する:
「Flashback.C」が「XProtectUpdater」のplistファイルのパスを解読
「Flashback.C」が「XProtectUpdater」バイナリのパスを解読
同マルウェアは次に、「XProtectUpdater」デーモンをアンロードする:
最後に同マルウェアは「XProtectUpdater」ファイルを" "キャラクタで上書きする:
「Flashback.C」が「XProtectUpdater」のplistファイルを上書き
「Flashback.C」が「XProtectUpdater」バイナリを上書き
上述の処理は特定のファイルを消去し、「XProtect」が今後のアップデートを自動的に受けれないようにする。
システムの防御手段を無効にしようとすることは、マルウェアでは非常に一般的な戦術だ。そしてビルトインの防御手段は当然、どのようなコンピューティングプラットフォームでも最初の標的となる。
Threat Solutions post by — Brod