我々は「Backdoor:OSX/DevilRobber」のアップデート版を発見した。これについては以前、記事を掲載している。

  このアップデート版は、正当なアプリケーションに偽装するため、以前のものと同様のテクニックを使用しているが、今回は「PixelMator」と自称している。

Pixel_mator

  同マルウェアの「dump.txt」ファイルによれば、この最新版バックドアは「Version 3(v3)」とされている。

DevilRobber v3

  「DevilRobberV3」に見られる大きな違いは、配布の方法が異なり、「従来型の」ダウンローダ方式であるという点にある。

  我々が分析した「DevilRobberV3」サンプル(1c49632744b19d581af3d8e86dabe9de12924d3c)は、FTP Serverサービスプロバイダからバックドア・インストーラ・パッケージをダウンロードするFTPダウンローダだ。

  インストーラを取得するのに、同マルウェアはハードコードされたユーザ名とパスワードを持つ3つのFTP URLを生成するが、これらはプログラムそのものにコード化されている。パッケージは「bin.cop」という名で、FTPサーバーのルートフォルダに保存される。

DevilRobberV3 downloader

  配布方法が変更されていることに加え、「DevilRobberV3」では情報収集スクリプトに以下の変更がある:

  •  以前のようにスクリーンショットをとらない
  •  以前のようにLittleSnitch(ファイアウォールアプリケーション)の存在をチェックしない
  •  異なるローンチポイント名を用いる
  •  シェルコマンド履歴を収集する
  •  1パスワードコンテンツを収集する(AgileBitsのパスワードマネージャ)
  •  今回はシステムログファイルも収集する

  しかし今回もBitcoinワレットコンテンツを取得しようとする。

Threat Solutions post by — Wayne