Macに感染してDNSを乗っ取る新手のマルウェアが出回っているのが発見され、セキュリティ研究者が詳しい情報を公開して注意を呼び掛けている。

このマルウェア「OSX/MaMi」は、OS X向けの無料セキュリティツールを提供している研究者のパトリック・ウォードル氏が1月11日のブログで報告した。発見のきっかけは、MalwareBytesのフォーラムに同日書き込まれた「同僚がうっかり何かをインストールして、DNSを乗っ取られた」という投稿だった。

ウォードル氏が調べた結果、MaMiに感染すると、実際にDNSアドレスが勝手に書き換えられて乗っ取られてしまうことを確認。同マルウェアはほかにもスクリーンショット撮影、ファイルのダウンロードとアップロード、コマンド実行などの機能を実装していることが分かった。

攻撃者は、新しいroot証明書をインストールしてDNSサーバを乗っ取ることにより、通信に割り込む中間者攻撃を仕掛けることが可能になる。そうした攻撃では認証情報を盗まれたり、広告を挿入されたりする恐れもある。

その後の調査でMaMiは、やはりDNS設定を乗っ取るWindowsマルウェアの「DNSUnlocker」とよく似ていることが分かった。「MaMiはDNSUnlockerのmacOSバージョンらしい」とウォードル氏は推測している。

現時点で感染経路は不明だが、MaMiはさまざまなWebサイトでホスティングされていたという。

ウイルス対策エンジンでの検出率を調べたところ、当初は全59製品ともMaMiをマルウェアとは認識していなかったが、その後、各社のウイルス対策製品で検出されるようになったとウォードル氏は伝えている。

関連キーワード DNS | マルウェア | Mac | セキュリティ



Copyright © ITmedia, Inc. All Rights Reserved.