当社Threat Researchチームの一員であるBrodは、垂れ込みに基づき調査を行った。そして、ダライ・ラマ関連のWebサイトが侵害され、新たなMacのマルウェアをプッシュしてくることを発見した。このマルウェアはDocksterと呼ばれ、Javaベースのエクスプロイトを用いている。

 以下はgyalwarinpoche.comのページのソースだ。

gyalwarinpoche.com --jar

 Googleのキャッシュにあるgyalwarinpoche.comのスクリーンショットは次のとおり。

gyalwarinpoche.com, cached image

 注意:Googleの11月27日のスナップショットにもやはり悪意のあるエクスプロイトへのリンクが含まれる(つまり踏まないように)。

 gyalwarinpocheのサイトは、以下のdalailama.comと「公式っぽさ」が違って見える(訳注:ギャルワ・リンポチェはダライ・ラマの尊称)。

dalailama.com

 しかし2009年または2010年辺りから存在し、ダライ・ラマのYouTubeチャンネルと同じ名前を持つ。

 またWhoisの情報も似ている。

whois: dalailama.com
dalailama.com

whois: gyalwarinpoche.com
gyalwarinpoche.com

 このJavaベースのエクスプロイトは「Flashback」と同じCVE-2012-0507の脆弱性を悪用する。現行バージョンのMac OS Xや、ブラウザのJavaプラグインが無効になったMac OSではエクスプロイトによる危険性はない。送り込まれるマルウェアBackdoorOSXDockster.Aは、ファイルのダウンロードやキーロガーの機能を持つベーシックなバックドアだ。

 gyalwarinpoche.comが侵害されたのはこれが初めてではないし、もちろんチベット関連のNGOが標的になったのも今回に限ったことではない。詳細についてはここここに目を通してほしい。

 さらに、CVE-2012-4681を用いた、WindowsベースのペイロードTrojan.Agent.AXMOを持つエクスプロイトも存在する。

MD5情報:

Exploit:Java/CVE-2012-0507.A — 5415777DB44C8D808EE3A9AF94D2A4A7
Backdoor:OSX/Dockster.A — c6ca5071907a9b6e34e1c99413dcd142
Exploit:Java/CVE-2012-4681.H — 44a67e980f49e9e2bed97ece130f8592
Trojan.Agent.AXMO — c3432c1bbdf17ebaf1e10392cf630847