新たなBackdoor:OSX/KitM.Aの事例が確認された。

 ドイツを拠点とする調査員が、OSX/KitMの件で、昨日当社に接触をしてきた(OSX/KitMについては先週ブログに書いた)。KitMは「Kumar in the Mac」の略で、スパイウェアに与えた当社の記号だ。OSX/FilestealまたはOSX/HackBackとして知られているものに関連があり、Rajinder Kumarという名前の、アップル社のDeveloper IDで署名されている。アップルはその後当該Developer IDを無効にした。

 このOSX/KitMの最新版は2012年12月から2013年2月上旬の攻撃期間中、liveapple.euというルーマニアのC&Cサーバを使用していた。スピアフィッシングでは、Christmas_Card.app.zipという名前の添付ファイルが使われていた(攻撃が12月に開始されたことを思い出してほしい)。

 そこで、標的になる可能性のある方のために、我々から少々アドバイスを。

 以下はデフォルトの「Gatekeeper」のセキュリティ設定だ。

Mac, Security & Privacy
Mac App Store and identified developers(Mac App Storeと確認済みの開発元からのアプリケーションを許可)

 ソフトウェアを盛んにインストールするのでなければ、必要な設定は以下のようになる。

Mac, Security & Privacy
Mac App Store(Mac App Storeからのアプリケーションのみを許可)

 厳しいほうの設定でOSX/KitMをインストールしようとすると、次のメッセージが表示される。

Kumar's Christmas Card

 もしOS X Mountain LionまたはLion v10.7.5を起動しているのであれば、追加的な予防措置として、設定を調整するとよい。

SHA1: 290898b23a85bcd7747589d6f072a844e11eec65