オープンソースプロジェクトであるMac用BitTorrentクライアント「Transmission」のインストーラーに、新種のランサムウェア「KeRanger」が混入していたことを、米Palo Alto Networksが報告した。同社によれば、Mac OS Xで初の“完全体な”ランサムウェアだという。
「Transmission」の公式サイト
KeRangerは、Appleから発行された有効な証明書で署名されており、インターネットからダウンロードしたマルウェアや不正アプリを検出する機能としてOS Xに搭載されている「GateKeeper」を突破している。インストーラーには、RTF形式の文書ファイルに見せかけた実行ファイルが同梱されており、インストールすると3日ほど潜伏したのち、匿名ネットワーク「Tor」を経由してC&Cサーバーに接続、ファイルの暗号化を実行する。
インストーラーには、RTF形式の文書ファイルに見せかけた「General.rtf」と呼ばれる実行ファイルが含まれている
ドキュメントや画像、オーディオデータなどのファイルの暗号化が完了すると、復号化と引き換えに約400ドルをビットコインで支払うよう要求する旨のテキストファイルをC&Cサーバーから受け取る。KeRangerはまだ発展途上だが、バックアップストレージ「Time Machine」にも暗号化を仕掛けるバックドア機能を開発している痕跡がコードから見つかっている。
暗号化が完了すると「README_FOR_DECRYPT」という名称のテキストファイルがC&Cサーバーから送信され、1ビットコイン(約400ドル)を支払うよう要求される
攻撃者は、3月4日の早朝にTransmissionウェブサイト内のインストーラーにKeRangerを仕込んでおり、未確認ではあるものの、Transmissionの公式サイトに不正アクセスして、KeRangerを仕込んだバージョンに置き換えた可能性があるとしている。
Palo Alto NetworksではAppleとTransmissionプロジェクトに今回の件を報告済み。Appleでは該当の証明書の失効とウイルス定義データベース「XProtect」をアップデートしたほか、同プロジェクトではKeRangerが混入したインストーラーをウェブサイトから削除している。
(山川 晶之)
関連リンク Palo Alto Networks公式ブログの該当記事(英文)http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
関連記事
JavaScriptフレームワークで作成されたランサムウェア登場、SaaS型で身代金額や感染時のコメントなど攻撃者がカスタム可能
2016年1月6日
1万7000台を超えるMacがマルウェア「iWorm」に感染、感染源は不明~掲示板「reddit」からの命令を待っている
2014年10月4日