狙われるMac OS: クロスプラットフォームなJavaボットネットが拡散中

2011/05/16

これまでマルウェアは、できるだけ多くの人に影響を与えるために、Windowsを主なプラットフォームとして作成されてきました。しかし、他のプラットフォームの人気が高まるにつれ、サイバー犯罪者はWindows以外のプラットフォームを対象とする悪性コード作りに着手し始めました。

プラットフォームの中でも特にサイバー犯罪者の注目を浴びているのが、Mac OSです。先日McAfee Labsでは、珍しい偽セキュリティソフトのMac版を確認しました。

しかし、Macを脅かす脅威は、偽セキュリティソフトに留まりません。現在、最も注意すべき脅威は、Javaを使用したWindowsとMacで実行可能なクロスプラットフォームマルウェアです。この種のマルウェアは、マルチプラットフォームのJava仮想マシンで実行できます。「IncognitoRAT」は、発見された拡散中のJavaベースのトロイの木馬の一例で、別のコンポーネントによってダウンロードされ、インストールされるものです。このマルウェアは、ほかのWindowsボットネットと同じような動きをしますが、使用するのは、ほかのプラットフォーム上で作動可能なソースコードやライブラリーです。

IncognitoRATの本来の繁殖ベクトルはWindows実行ファイルですが、JarToExeというツ―ルを使用して作成されているのは明白です。特に、.jarファイルを.exeファイルに変換して、プログラムアイコンやバージョン情報の追加、Javaプログラムの保護と暗号化を行う機能が盛り込まれています。このマルウェアに感染すると、PCにはJava Runtime Environmentがインストールされ、ネットワークに接続されます。このファイルは、実行されると同時にZIPファイルとJavaベースのライブラリー1組をダウンロードし始め、以下のようなリモートアクティビティを実行します。

  • Java Registry Wrapper:WindowsレジストリーにアクセスしてSoftware\Microsoft\Windows\CurrentVersion\Runにエントリーし、コンピューターを起動するたびにマルウェアを実行
  • Java Remote Control:感染マシン(のマウスやキーボード)を表示し、遠隔操作
  • JLayer – MP3 Library:感染マシン上でMP3ファイルを遠隔再生
  • RNP-VideoPlayer:動画を遠隔再生
  • JavaMail:盗んだ情報を、あるメールアカウントに送信するためのオプションのJavaパッケージ
  • Freedom for Media Java:公式Java Media Frameworkのオープンソースの代替方法。リモートWebカメラの画像を監視・記録するために、マルウェアが使用

これらのライブラリーに加えて、ダウンローダーはJavaUpdater.jarという.jar コンポーネントを投下します。これは、感染PC上にすべてのコンポーネントを配置するためにマルウェアが作成するディレクトリの暗号を解読するもので、TripleDES暗号化と暗号解読方法を実行します。最後に、コンポーネントが、Windows上のJavaアプリケーションを実行するためのよくある指示(java -jar %malwarepath%/Server.jar)を使用して、マルウェアserver.jarを実行します。

Server.jarは、感染PCのキーボードをフックするために設計されたDLLを使用してバックグラウンドでキーストロークを収集します。また、上述のライブラリーを使用して、キーストロークをテキストファイルに取り込んだものを、FTPサーバーやメールアカウントに送信したり、制御サーバーからのコマンドに従って、リモートWebカメラの監視・記録、DDoS攻撃の実行、PC のリモート制御を行ったりします。なお分析中に、コンポーネントが投下されたファイルの中に以下の画像を発見しました。IncognitoRATには、システムが「クラッシュ」したように見せかける、偽のクラッシュ機能も搭載されているようです。

公開された情報によると、この悪性コードはWindows、Mac OS X、iPhone/iPadで利用可能です。ただし、拡散中のダウンローダーやドロッパーでMcAfee Labsが確認したことがあるのは、PCバージョンだけです。マカフィー製品では、このマルウェアを、マカフィーの最新DATにおいてJV/IncognitoRATという名前で検出します。