OSX_DOK.C
2017年7月10日
別名:
HEUR:Trojan-Spy.OSX.Aptordoc.b (Kaspersky) MacOS:Dok-D [Trj] (Avast)
プラットフォーム:
Mac OS X
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
Mac OS X を狙うこのマルウェアは、電子証明書の偽造やセキュリティソフトによるスキャン回避等の巧妙な手法を利用し、金融機関を主な標的としています。攻撃者は、フィッシングメール送信活動によってこのマルウェアを送り込み、「Man-In-The-Middle(MitM、中間者)攻撃」を仕掛けてネットワークトラフィックをハイジャックし、最終的にネットバンキングの認証情報を詐取します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。
詳細
ファイルサイズ 38,864 bytes
タイプ Mach-O
メモリ常駐 はい
発見日 2017年5月26日
ペイロード 画像の表示
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- /Users/Shared/AppStore.app
HOSTSファイルの改変
マルウェアは、ユーザが以下のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。
- 127.0.0.1 localhost
- 255.255.255.255 broadcasthost
- ::1 localhost
- 127.0.0.1 metrics.apple.com
- 127.0.0.1 ocsp.apple.com
- 127.0.0.1 su.itunes.apple.com
- 127.0.0.1 ax.su.itunes.apple.com
- 127.0.0.1 swscan.apple.com
- 127.0.0.1 swcdn.apple.com
- 127.0.0.1 swdist.apple.com
- 127.0.0.1 a1.phobos.apple.com
- 127.0.0.1 a101.phobos.apple.com
- 127.0.0.1 a102.phobos.apple.com
- 127.0.0.1 a103.phobos.apple.com
- 127.0.0.1 a104.phobos.apple.com
- 127.0.0.1 a105.phobos.apple.com
- 127.0.0.1 a11.phobos.apple.com
- 127.0.0.1 a12.phobos.apple.com
- 127.0.0.1 a13.phobos.apple.com
- 127.0.0.1 a14.phobos.apple.com
- 127.0.0.1 a15.phobos.apple.com
- 127.0.0.1 access.apple.com
- 127.0.0.1 advertising.apple.com
- 127.0.0.1 albert.apple.com
- 127.0.0.1 ali.apple.com
- 127.0.0.1 ams.apple.com
- 127.0.0.1 apple.apple.com
- 127.0.0.1 apple.com
- 127.0.0.1 appleconnect.apple.com
- 127.0.0.1 appleid-it.apple.com
- 127.0.0.1 appleid.apple.com
- 127.0.0.1 appleseed.apple.com
- 127.0.0.1 appleseed3.apple.com
- 127.0.0.1 appleseedtest.apple.com
- 127.0.0.1 aps.info.apple.com
- 127.0.0.1 ara.apple.com
- 127.0.0.1 arait.apple.com
- 127.0.0.1 asia.apple.com
- 127.0.0.1 asw.apple.com
- 127.0.0.1 atlaslms.apple.com
- 127.0.0.1 av.apple.com
- 127.0.0.1 benefits.apple.com
- 127.0.0.1 beta.apple.com
- 127.0.0.1 bugreport.apple.com
- 127.0.0.1 bugreporter.apple.com
- 127.0.0.1 c.apple.com
- 127.0.0.1 calendar.apple.com
- 127.0.0.1 certifications-test.apple.com
- 127.0.0.1 certifications.apple.com
- 127.0.0.1 certifications2.apple.com
- 127.0.0.1 checkcoverage.apple.com
- 127.0.0.1 checkrepair.apple.com
- 127.0.0.1 concierge-mobile.apple.com
- 127.0.0.1 concierge.apple.com
- 127.0.0.1 consultants.apple.com
- 127.0.0.1 cooljobs.apple.com
- 127.0.0.1 deimos.apple.com
- 127.0.0.1 deimos2.apple.com
- 127.0.0.1 deimos3.apple.com
- 127.0.0.1 deploy.apple.com
- 127.0.0.1 developer.apple.com
- 127.0.0.1 developer2.apple.com
- 127.0.0.1 developertest.apple.com
- 127.0.0.1 devforums.apple.com
- 127.0.0.1 devimages.apple.com
- 127.0.0.1 diagnostics.apple.com
- 127.0.0.1 discussions.apple.com
- 127.0.0.1 documentation.apple.com
- 127.0.0.1 downloads.apple.com
- 127.0.0.1 ecommerce.apple.com
- 127.0.0.1 employment.apple.com
- 127.0.0.1 enterprise.apple.com
- 127.0.0.1 ep.sap.apple.com
- 127.0.0.1 erp.apple.com
- 127.0.0.1 esp-test.apple.com
- 127.0.0.1 esp.apple.com
- 127.0.0.1 euro.apple.com
- 127.0.0.1 events.apple.com
- 127.0.0.1 ext.apple.com
- 127.0.0.1 ext1.apple.com
- 127.0.0.1 extensions.apple.com
- 127.0.0.1 files.apple.com
- 127.0.0.1 gspa21.ls.apple.com
- 127.0.0.1 gsx-it.apple.com
- 127.0.0.1 gsx.apple.com
- 127.0.0.1 gsxit.apple.com
- 127.0.0.1 guide.apple.com
- 127.0.0.1 help.apple.com
- 127.0.0.1 hrweb.apple.com
- 127.0.0.1 iad.apple.com
- 127.0.0.1 iadworkbench.apple.com
- 127.0.0.1 id.apple.com
- 127.0.0.1 identity.apple.com
- 127.0.0.1 iforgot.apple.com
- 127.0.0.1 images.apple.com
- 127.0.0.1 index.apple.com
- 127.0.0.1 init.apple.com
- 127.0.0.1 investor.apple.com
- 127.0.0.1 iphone.apple.com
- 127.0.0.1 itunes.apple.com
- 127.0.0.1 itunespartner.apple.com
- 127.0.0.1 jobs.apple.com
- 127.0.0.1 k.apple.com
- 127.0.0.1 lists.apple.com
- 127.0.0.1 locate.apple.com
- 127.0.0.1 macos.apple.com
- 127.0.0.1 manuals.info.apple.com
- 127.0.0.1 manuals01.info.apple.com
- 127.0.0.1 manuals02.info.apple.com
- 127.0.0.1 manuals03.info.apple.com
- 127.0.0.1 manuals04.info.apple.com
- 127.0.0.1 maps.apple.com
- 127.0.0.1 mapsconnect.apple.com
- 127.0.0.1 meetingroom.apple.com
- 127.0.0.1 mfi.apple.com
- 127.0.0.1 mobile.apple.com
- 127.0.0.1 mobileaccess.apple.com
- 127.0.0.1 movies.apple.com
- 127.0.0.1 movietrailers.apple.com
- 127.0.0.1 myaccess-it.apple.com
- 127.0.0.1 myaccess.apple.com
- 127.0.0.1 mynews.apple.com
- 127.0.0.1 mystore.apple.com
- 127.0.0.1 news.apple.com
- 127.0.0.1 nr.apple.com
- 127.0.0.1 opensource.apple.com
- 127.0.0.1 podcastsconnect.apple.com
- 127.0.0.1 portal.apple.com
- 127.0.0.1 quicktime.apple.com
- 127.0.0.1 radar.apple.com
- 127.0.0.1 register.apple.com
- 127.0.0.1 relay.apple.com
- 127.0.0.1 relay1.apple.com
- 127.0.0.1 relay11.apple.com
- 127.0.0.1 relay12.apple.com
- 127.0.0.1 relay13.apple.com
- 127.0.0.1 relay14.apple.com
- 127.0.0.1 relay15.apple.com
- 127.0.0.1 relay2.apple.com
- 127.0.0.1 relay3.apple.com
- 127.0.0.1 relay4.apple.com
- 127.0.0.1 relay5.apple.com
- 127.0.0.1 remoteadvisor.apple.com
- 127.0.0.1 remoteadvisor1.apple.com
- 127.0.0.1 remoteadvisor2.apple.com
- 127.0.0.1 reportaproblem.apple.com
- 127.0.0.1 s.apple.com
- 127.0.0.1 safari-extensions.apple.com
- 127.0.0.1 sales.apple.com
- 127.0.0.1 salesresources.apple.com
- 127.0.0.1 school.apple.com
- 127.0.0.1 selfsolve.apple.com
- 127.0.0.1 servers.apple.com
- 127.0.0.1 service.apple.com
- 127.0.0.1 sift.apple.com
- 127.0.0.1 signin.apple.com
- 127.0.0.1 signin.info.apple.com
- 127.0.0.1 source.apple.com
- 127.0.0.1 ssl.apple.com
- 127.0.0.1 sso.apple.com
- 127.0.0.1 store.apple.com
- 127.0.0.1 support.apple.com
- 127.0.0.1 support01.apple.com
- 127.0.0.1 support02.apple.com
- 127.0.0.1 support03.apple.com
- 127.0.0.1 support04.apple.com
- 127.0.0.1 support05.apple.com
- 127.0.0.1 supportprofile.apple.com
- 127.0.0.1 supporttest.apple.com
- 127.0.0.1 survey.apple.com
- 127.0.0.1 survey2.apple.com
- 127.0.0.1 swdlp.apple.com
- 127.0.0.1 time.apple.com
- 127.0.0.1 time1.apple.com
- 127.0.0.1 time2.apple.com
- 127.0.0.1 time3.apple.com
- 127.0.0.1 time4.apple.com
- 127.0.0.1 time5.apple.com
- 127.0.0.1 tips.apple.com
- 127.0.0.1 trailers.apple.com
- 127.0.0.1 training.apple.com
- 127.0.0.1 trainingevents.apple.com
- 127.0.0.1 uptodate.apple.com
- 127.0.0.1 volume.apple.com
- 127.0.0.1 war.apple.com
- 127.0.0.1 www1.apple.com
- 127.0.0.1 wwwtest.apple.com
- 127.0.0.1 xml.apple.com
- 127.0.0.1 xp.apple.com
- 127.0.0.1 xp2.apple.com
- 127.0.0.1 virustotal.com
- 127.0.0.1 www.virustotal.com
その他
マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- api.ipify.org
マルウェアは、以下を実行します。
- ユーザに通知せずに偽の証明書をインストールする
- 以下のブラウザを終了する
- Safari
- Firefox
- Google Chrome
- システム更新を無効にする
- 以下のツールをインストールする
- brew
- tor
- socat
- マルウェアには、以下の対象金融機関のリストが含まれます。
- *.cic.ch
- *.clientis.ch
- *.postfinance.ch
- *.ukb.ch
- *.urkb.ch
- *abs ch
- *acrevis.ch
- *aekbank.ch
- *akb.ch
- *alpharheintalbank.ch
- *apbank.ch
- *appkb.ch
- *arabbank.ch
- *baloise.ch
- *bancasempione.ch
- *bancazarattini.ch
- *bankbiz.ch
- *bankgantrisch.ch
- *bankhaus-jungholz.ch
- *bankleerau.ch
- *bankslm.ch
- *bankzimmerberg.ch
- *banquecramer.ch
- *banqueduleman.ch
- *banquethaler.com
- *bbobank.ch
- *bbva.ch
- *bcf.ch
- *bcge.ch
- *bcj.ch
- *bcn.ch
- *bcpconnect.com
- *bcv.ch
- *bcvs.ch
- *bekb.ch
- *bil.com
- *bkb.chs
- *blkb.ch
- *bnpparibas.com
- *bordier.com
- *bsibank.com
- *btv3banken.ch
- *ca-financements.ch
- *cash.ch
- *cbhbank.com
- *ce-riviera.ch
- *ceanet.ch
- *cedc.ch
- *cembra.ch
- *cen.ch
- *cimbanque.net
- *cmvsa.ch
- *commerzbank.com
- *corneronline.ch
- *coutts.com
- *credinvest.ch
- *credit-suisse.com
- *dcbank.ch
- *dominickco.ch
- *eek.ch
- *efginternational.com
- *ekaffoltern.ch
- *eki.ch
- *ekr.ch
- *ersparniskasse.ch
- *exane.com
- *falconpb.com
- *frankfurter-bankgesellschaft.com
- *gemeinschaftsbank.ch
- *gkb.ch
- *glarner-regionalbank.ch
- *glkb.ch
- *globalance-bank.com
- *gobanking.ch
- *hbl.ch
- *hsbcprivatebank.com
- *hypobank.ch
- *incorebank.ch
- *inlinea.ch
- *juliusbaer.com
- *leihkasse-stammheim.ch
- *lienhardt.ch
- *lukb.ch
- *maerki-baumann.ch
- *mirabaud.com
- *mmwarburg.ch
- *mybancaria.ch
- *neuehelvetischebank.ch
- *nkb.ch
- *nordea.ch
- *notenstein-laroche.ch
- *onba.ch
- *owkb.ch
- *pbgate.net
- *pbihag.ch
- *piguetgalland.ch
- *rahnbodmer.ch
- *raiffeisen.chs
- *rbm.ch
- *regiobank.ch
- *reyl.com
- *saanenbank.ch
- *sebgroup.com
- *shkb.ch
- *slbucheggberg.ch
- *slfrutigen.ch
- *slguerbetal.ch
- *slr.ch
- *slwynigen.ch
- *sparhafen.ch
- *sparkasse-dielsdorf.ch
- *sparkasse.ch
- *szkb.ch
- *trafina.ch
- *triba.ch
- *ubp.com
- *ubs.com
- *umtb.ch
- *valiant.ch
- *vermoegenszentrum.ch
- *vontobel.com
- *wir.ch
- *zkb.ch
- *zuercherlandbank.ch
- *zugerkb.ch
- bankthalwil.ch
- bernerlandb. nk.ch
- cic.ch
- clientis.ch
- cs.directnet.com
- ebanking.raiffeisen.ch
- tb.raiffeiendirect.ch
- ukb.ch
- urkb.ch
- マルウェアは、"AppStore" という macOSログイン項目に自身を追加します。
- HTTP および HTTPSトラフィックをリダイレクトするために、ユーザの Launch Agents フォルダに以下のファイルをインストールします。
- com.apple.Safari.pac.plist
- com.apple.Safari.proxy.plist
- マルウェアは、システムの「AppStore」を削除し、偽の OSXの更新画面を開きます。
マルウェアは、以下の偽のシステム更新のアプリケーションを表示します。
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 13.466.08
初回 VSAPI パターンリリース日 2017年6月12日
VSAPI OPR パターンバージョン 13.467.00
VSAPI OPR パターンリリース日 2017年6月13日
手順 1
以下のファイルを検索し削除します。
[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - /Users/YOUR USERNAME/Library/LaunchAgents/com.apple.Safari.proxy.plist
- /Users/YOUR USERNAME/Library/LaunchAgents/com.apple.Safari.pac.plist
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_DOK.C」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください