Fruitflyとは?最近発見されたマルウェア「Fruitfly」について、Macユーザーにとってどのような意味があるのか、詳しく見ていきましょう。
今年、特に悪質なMac用マルウェアが、しばらくの間、マシン上で検知されずに動作していたことが明らかになりました。
「Fruitfly」と呼ばれるこのマルウェアは、ハッカーにMacコンピュータを遠隔操作する能力を与えますが、今回、このマルウェアとその新たな亜種に関する新たな詳細が明らかにされました。
では、Fruitflyについて知っておくべきことは何でしょうか?どうすれば身を守ることができるのか?知っておくべきことは、ここにあります。
Fruitflyとは
このマルウェアは2017年1月に初めて発見されました。
この投稿では、FruitflyがMacに感染すると、スクリーンショットのキャプチャ、ウェブカメラの制御、さらにはMacと同じネットワーク上の他のデバイスへの接続が可能になることを説明しています。 また、このマルウェアによってコンピュータのファイルにアクセスでき、ハッカーはマシンを完全にコントロールできるようになります。
当時、このマルウェアは2014年10月に発売されたOS X Yosemiteから存在していたことが疑われました。
ブログ記事の説明の通りです。”これにより、これまで見たこともないようなマルウェアが発見されました。このマルウェアは、実際に存在し、しばらくは検出されていなかったようで、生物医学研究センターをターゲットにしているようです。”
このマルウェアの最初のバージョンは、Macを感染させ続けるために、隠しファイルと起動エージェントだけを使用する、比較的単純なものだったと言われています。
Fruitflyの新変異種が登場
Appleがこの問題にパッチを適用した1月以降、Fruitflyの新しい亜種が出現し、より多くのコンピュータに感染しているようです。このマルウェアは、ウイルス対策ソフトウェアやmacOSによって終始検出されないままであり、特に陰湿な感染症となっています。
今年7月、元NSAハッカーでSynack社の主任セキュリティ研究員であるPatrick Wardle氏が、マルウェア「Fruitfly」の最新亜種の詳細な分析についてZDNetに語っています。
Wardle氏はZDNetに語った。”最も興味深い特徴は、ユーザーがアクティブになったときにマルウェアがアラートを送信できることです。今まで見たことがありません。”つまり、ハッカーはユーザーがアクティブになったときに、自分たちがやっていることをすぐに止めることができ、発見されずに済む可能性が高くなるということだ。
このマルウェアは、比較的シンプルであるにもかかわらず、フル機能を備えており、ハッカーが自分の行動を発見しにくくするため、あるいは遅い接続でのプロセスをスピードアップするために、さまざまなレベルの品質でMacディスプレイのスクリーンショットを自分自身に送信することさえ可能です。
また、Wardle氏は、Fruitflyの分析中に、このマルウェアがハッカーにIPアドレス、ユーザー名、コンピュータ名を提供していることを発見しました。
研究者はある時、400台近くの感染したMacが登録されたサーバーに接続した際、それらのデバイスのIPアドレスとユーザー名を見ることができただけでなく、マルウェアを使って簡単にユーザーをスパイすることができたことを発見しました。
残念ながら、このマルウェアがどのようにコンピュータに感染するのかを知る術はありません。しかし、Wardle氏は、Fruitflyが悪意のある電子メールの添付ファイルを介して、あるいは単に悪意のあるリンクを介してマシンに感染する可能性があると推測しています。
Fruitflyマルウェアの背後にいるのは誰なのか?
現時点では、誰がFruitflyを作成したかは不明です。Wardle氏は、このマルウェアの背後には国家的な攻撃者ではなく、一人のハッカーがいると思うと述べ、その目的は “倒錯した理由で人々を監視すること “だと思うと述べています。
また、Fruitflyの目的が何であるかは、現時点ではまだ不明です。他の多くのマルウェアのようにランサムウェアをインストールするわけではないので、作成者の意図が金融情報を盗むことや利益を上げることであるようには思えません。
しかし、このマルウェアの主要なコマンド&コントロール・サーバーは閉鎖されたようで、Fruitflyの背後にいる人物がこれを放棄したことが示唆されています。
それでも、感染したMacは感染したままであり、起動するとサーバーに報告するため、マルウェアにハードコードされたドメインの一つを登録した人は、感染したマシンにアクセスすることができることになります。
Fruitflyで影響を受けるのは誰?
Wardle氏は、マルウェアの影響を受けた人数を明かすことはできませんが、調査中にサーバーに接続した400台のコンピュータのほとんどが米国に拠点を置いていたことを明らかにしました。
Wardle氏によれば、このマルウェアは5年間も発見されていないことから、全世界の感染者数は400人をはるかに上回ると思われます。
そして、誰もがFruitfly感染の被害者になる可能性があるようです。研究者はZDNetにこう語っています。”あなたは、この種の再露光は、あなたが普通の人であっても本当に陰湿な攻撃の犠牲になることができるという事実を認識する必要があります.これは、Macが他のコンピュータと同じように脆弱であることを示すもう一つの例です”。
結論
Appleは今年初めにFruitflyに対するセキュリティパッチをリリースしましたが、その後に出現した新しい亜種のマルウェアはまだパッチが適用されていません。
Wardle氏自身は、Fruitflyの被害者が感染を特定するのに役立つ2つのMacソフトウェアを開発しました。1つ目のBlockBlockは、マルウェアの疑わしい起動エージェントを強調することができ、2つ目のOversightは、アプリケーションがMacのウェブカメラやマイクにアクセスしようとするたびにユーザーに通知することができるものです。
Fruitflyは依然として多くのアンチウイルスプログラムで検出されていませんが、最近VirusTotalのマルウェア検出サービスでは、上位56のアンチウイルスおよびエンドポイント保護製品のうち19製品がFruitflyの感染を識別できるようになったようです。