我々は先頃、Mac OS Xマルウェアで、バックドアとトロイの木馬的な機能を持つ「DevilRobber.A」を分析した。現在までに収集したサンプルはすべて、「The Pirate Bay」サイトの一つのユーザアカウントによりアップロードされたものだ:

DevilRobber tpb

  これら共有されたファイルは、正当なMacアプリケーションだが、マルウェアのコンポーネントを含むよう修正されていた。我々が入手したサンプルには、そのコンポーネントのバリエーションがあり、これは、いくつかのサンプル(亜種)には追加の機能が存在するということを意味している。

  同マルウェアの作者には、それぞれの制作物にさまざまな目的があったようだ。亜種の一つは、感染したマシンのキーチェーンを盗み、「pthc」というストリングにマッチする名を持つ、システム上のファイル数を記録する。これは「プレティーンのハードコア・ポルノ」を表しているのではないかと、Graham Cluleyが推測している。このマルウェア作者はまるで、感染したマシンがポルノを有していることを特定し、その素材にアクセスするために認証情報を使用することで、違法な児童虐待素材を探そうとしているかのようだ。

  他の亜種はBitcoinマイニングに関連するアプリケーションをインストールする。これらのアプリケーションは、感染したマシンのCPUおよびGPUの処理能力の双方を使用するため、コンピュータ所有者の負担により、マイニングオペレーションが向上する。目下、非常にどん欲だ!

  以下は、本稿執筆時までに我々が発見した亜種の相違に関するまとめだ:

DevilRobber variants

  さらに、我々が見た亜種はすべて、特定の規準にマッチするファイルの数を記録し、ターミナルコマンド履歴とBitcoinワレットの盗みも行う。全ての亜種は以下も実行する:

  •  リモートユーザからのコマンドをリスンするポートを開く。
  •  リモートユーザが使用できるWebプロキシを、他の攻撃の足がかりとしてインストールする。
  •  感染したマシンから情報を盗み、後で利用するため、その詳細をFTPサーバにアップロードする。

  ここでも亜種ごとに相違がある。Webプロキシにより使用されるポートは、亜種に依存する(上の表のPort Mapping欄を見て欲しい)。データを盗むためのFTPサーバも、サンプルによりさまざまだ。そしてDevilRobberのデータ窃盗ルーチンは、一定の間隔でくり返される。43200秒ごと、60000秒ごと、100000秒ごとで、これはサンプルにより異なる。

  テクニカルな点で、もう一つ興味深いのは、DevilRobberがUPnP対応のゲートウェイデバイスにポートマッピングを追加し、そのポートがネットワーク外からアクセス可能にするという点だ:

DevilRobber add port mapping

  そしてそれは、以前「Conficker/Downadup」で目にしたものだ。

  「DevilRobber」に関する詳細は、我々の解説でご覧頂ける。