Macマルウェア開発に新たな何かが起きようとしている(またもや)。

  最近のリサーチで、「Trojan-Downloader:OSX/Flashback.C」がAppleのOS Xビルトイン・アンチマルウェア・アプリケーション「XProtect」の自動アップデータコンポーネントを使用不能にすることが分かった。

  まず「Flashback.C」は、ボディでハードコードされた「XProtectUpdater」ファイルのパスを解読する:

xprotectupdater_plist, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」のplistファイルのパスを解読

xprotectupdater, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」バイナリのパスを解読

  同マルウェアは次に、「XProtectUpdater」デーモンをアンロードする:

unload1, Trojan-Downloader:OSX/Flashback.C

unload2, Trojan-Downloader:OSX/Flashback.C

  最後に同マルウェアは「XProtectUpdater」ファイルを" "キャラクタで上書きする:

wipe_xprotectupdater_plist, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」のplistファイルを上書き

wipe_xprotectupdater, Trojan-Downloader:OSX/Flashback.C
「Flashback.C」が「XProtectUpdater」バイナリを上書き

  上述の処理は特定のファイルを消去し、「XProtect」が今後のアップデートを自動的に受けれないようにする。

  システムの防御手段を無効にしようとすることは、マルウェアでは非常に一般的な戦術だ。そしてビルトインの防御手段は当然、どのようなコンピューティングプラットフォームでも最初の標的となる。

Threat Solutions post by — Brod