セキュリティ企業ESETは、テキストファイルや画像ファイルに偽装された、新たなMac用のマルウェア「OSX/Keydnap」が出回っていることを明らかにしました(AppleInsider、Cult of Mac)。マルウェアに感染するとキーチェインの中に含まれる重要な個人情報を盗まれる危険性があります。
OSX/Keydnapは.zipアーカイブファイルの中に含まれるテキストファイルやJPEGファイルに偽装されています。ファイル名の末尾にスペースが追加されているところがポイントで、ダブルクリックするとMach-Oの実行ファイルとみなされ、ターミナルで即時に実行されてしまうのです。
GateKeeperが有効な場合セキュリティ機能により警告が表示され感染を防ぐことができますが、GateKeeperが無効となっている場合、マルウェアはバックドアコンポーネントをダウンロードし、毎回起動時に実行されるようシステムを改変します。その際おとり画像を(本物の)ダミー画像に置き換える巧妙な機能も搭載されているようです。
その後バックドアは、他のアプリケーションが実行されたタイミングでポップアップを表示してユーザーにrootパスワードを入力させroot権限を取得。最終的にキーチェイン中からさらに重要な上である銀行やGmail、Amazonなどのユーザー名やパスワードを取得して外部に送信する仕組みとなっています。
現在感染源は不明ですがスパムEmailの添付ファイルが怪しい模様。Backdoor.MAC.Elanorでもそうですが、GateKeeperはうかつに無効にしないほうが良さそうです。
