我々は「Backdoor:OSX/DevilRobber」のアップデート版を発見した。これについては以前、記事を掲載している。
このアップデート版は、正当なアプリケーションに偽装するため、以前のものと同様のテクニックを使用しているが、今回は「PixelMator」と自称している。

同マルウェアの「dump.txt」ファイルによれば、この最新版バックドアは「Version 3(v3)」とされている。

「DevilRobberV3」に見られる大きな違いは、配布の方法が異なり、「従来型の」ダウンローダ方式であるという点にある。
我々が分析した「DevilRobberV3」サンプル(1c49632744b19d581af3d8e86dabe9de12924d3c)は、FTP Serverサービスプロバイダからバックドア・インストーラ・パッケージをダウンロードするFTPダウンローダだ。
インストーラを取得するのに、同マルウェアはハードコードされたユーザ名とパスワードを持つ3つのFTP URLを生成するが、これらはプログラムそのものにコード化されている。パッケージは「bin.cop」という名で、FTPサーバーのルートフォルダに保存される。

配布方法が変更されていることに加え、「DevilRobberV3」では情報収集スクリプトに以下の変更がある:
• 以前のようにスクリーンショットをとらない
• 以前のようにLittleSnitch(ファイアウォールアプリケーション)の存在をチェックしない
• 異なるローンチポイント名を用いる
• シェルコマンド履歴を収集する
• 1パスワードコンテンツを収集する(AgileBitsのパスワードマネージャ)
• 今回はシステムログファイルも収集する
しかし今回もBitcoinワレットコンテンツを取得しようとする。
Threat Solutions post by — Wayne
このアップデート版は、正当なアプリケーションに偽装するため、以前のものと同様のテクニックを使用しているが、今回は「PixelMator」と自称している。

同マルウェアの「dump.txt」ファイルによれば、この最新版バックドアは「Version 3(v3)」とされている。

「DevilRobberV3」に見られる大きな違いは、配布の方法が異なり、「従来型の」ダウンローダ方式であるという点にある。
我々が分析した「DevilRobberV3」サンプル(1c49632744b19d581af3d8e86dabe9de12924d3c)は、FTP Serverサービスプロバイダからバックドア・インストーラ・パッケージをダウンロードするFTPダウンローダだ。
インストーラを取得するのに、同マルウェアはハードコードされたユーザ名とパスワードを持つ3つのFTP URLを生成するが、これらはプログラムそのものにコード化されている。パッケージは「bin.cop」という名で、FTPサーバーのルートフォルダに保存される。

配布方法が変更されていることに加え、「DevilRobberV3」では情報収集スクリプトに以下の変更がある:
• 以前のようにスクリーンショットをとらない
• 以前のようにLittleSnitch(ファイアウォールアプリケーション)の存在をチェックしない
• 異なるローンチポイント名を用いる
• シェルコマンド履歴を収集する
• 1パスワードコンテンツを収集する(AgileBitsのパスワードマネージャ)
• 今回はシステムログファイルも収集する
しかし今回もBitcoinワレットコンテンツを取得しようとする。
Threat Solutions post by — Wayne