解析者: Thea Patrice Tajonera   
 別名:

Trojan.OSX.SilverSparrow (IKARUS)

 プラットフォーム:

OSX

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

  詳細

ファイルサイズ 54403 bytes
タイプ Other
メモリ常駐 なし
発見日 2021年2月22日
ペイロード URLまたはIPアドレスに接続, ファイルの作成, 情報収集

侵入方法

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

  • /Users/scbox/Library/Application Support/agent_updater

作成活動

マルウェアは、以下のファイルを作成します。

  • ~/Library/LaunchAgents/init_agent.plist -> persistence for agent.sh
  • ~/Library/Application Support/agent_updater/agent.sh -> detected as Trojan.SH.SLISP

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

  • https://mobiletraits.s3.{BLOCKED}aws.com/version.json

情報漏えい

マルウェアは、以下の情報を収集します。

  • Query String:
    • sqlite3 /Users/scbox/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 select LSQuarantineDataURLString from LSQuarantineEvent where LSQuarantineDataURLString like \"%stu=3c55805%\" order by LSQuarantineTimeStamp desc

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://api.{BLOCKED}traits.com/pkl

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • mobiletraits.s3.{BLOCKED}aws.com
  • s3-1-w.{BLOKCED}aws.com
  • api.{BLOCKED}traits.com

マルウェアは、以下を実行します。

  • This malware is a pkg file (updater.pkg) that contains malicious pre-install scripts inside the Distribution.xml file -> detected as Trojan.XML.SLISP.A
  • The Distribution.xml file contains javascript codes to run system commands and does the routine:
    • Creates file init_agent.plist
    • Creates file agent.sh
    • Downloads version.plist
    • Run init_agent.plist
    • agent.sh downloads and runs its payload
    • Query Download Data
  • Init_agent.plist calls agent.sh every hour
  • The url that agent.sh downloads is dependent from another downloaded file from https://mobiletraits.s3.{BLOCKED}aws.com/version.json and is stored in /tmp/version.json
  • The .pkg file will also execute the bystander binaries file

<補足>
作成活動

マルウェアは、以下のファイルを作成します。

  • ~/Library/LaunchAgents/init_agent.plist → ファイル「agent.sh」の永続化
  • ~/Library/Application Support/agent_updater/agent.sh → 「Trojan.SH.SLISP」として検出

情報漏えい

マルウェアは、以下の情報を収集します。

  • クエリ文字列:
    • sqlite3 /Users/scbox/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 select LSQuarantineDataURLString from LSQuarantineEvent where LSQuarantineDataURLString like \"%stu=3c55805%\" order by LSQuarantineTimeStamp desc

マルウェアは、以下を実行します。

  • マルウェア(updater.pkg)には、ファイル「Distribution.xml」内に不正なプレ・インストールスクリプトが含まれています。 →「Trojan.XML.SLISP.A」として検出
  • ファイル「Distribution.xml」には、システムコマンドを実行するためのJavaScriptコードが含まれており、以下の不正活動を実行します。
    • ファイル「init_agent.plist」の作成
    • ファイル「agent.sh」の作成
    • version.plistのダウンロード
    • init_agent.plistの実行
    • agent.shによるペイロードのダウンロードおよび実行
    • ダウンロードデータの問い合わせ
  • Init_agent.plistは、agent.shを1時間ごとに呼び出します。
  • agent.shがダウンロード時にアクセスするURLは、https://mobiletraits.s3.{BLOCKED}aws.com/version.json からダウンロードされる別のファイルに依存し、/tmp/version.json内に保存されます。
  • マルウェアは、ファイル「bystander binary」を実行します。

  対応方法

対応検索エンジン: 10.000
初回 VSAPI パターンバージョン 16.557.00
初回 VSAPI パターンリリース日 2021年2月23日
VSAPI OPR パターンバージョン 16.557.00
VSAPI OPR パターンリリース日 2021年2月23日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.MacOS.SLISP.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください