クロスプラットフォームトロイの木馬攻撃Windows、Intel Macs、Linux

今週初め、Windows、Mac OS X、またはLinuxを実行しているかどうかを検出して、ご使用のプラットフォームに対応するマルウェアをダウンロードする新しいクロスプラットフォームトロイの木馬ダウンローダについて書きました。当時、私はその特定の攻撃に対するMacのペイロードはPowerPCバイナリであり、Intelベースのプラットフォーム上でRosettaを実行する必要があることに気付きました。 Mac用Intel x86ペイロードを含む2番目の攻撃が発見されました。今日のニュースは、最初の発見が孤立した事件ではなかったことを示しています。

前回と同じように、トロイの木馬のダウンローダはオペレーティングシステムをチェックし、コンピュータにダウンロードするマルウェアを選択できるようにします。 Webベースのソーシャルエンジニアリング攻撃は、Windows、Mac、およびLinuxコンピュータにバックドアをインストールする悪質なJavaアプレットに依存しています。最初にこのような侵害サイトにアクセスすると、証明書で署名されていないJavaアプレットをインストールするように求められます。これを行うと、アプレットはあなたのオペレーティングシステム(Windows、Mac OS X、またはLinux)を確認し、プラットフォームに対応するトロイの木馬を削除します。

Webエクスプロイトを発見したF-Secureは、最初のマルウェアをTrojan-Downloader:Java / GetShell.Aとして検出します。 Windows、Mac、Linuxの各ペイロードは、バックドア:W32 / TES.A、バックドア:OSX / TESrel.A、バックドア:Linux / GetShell.Aのように検出されます。トロイの木馬のダウンローダは、侵入テスト用に設計されたオープンソースで一般公開されているPythonツールであるSocial-Engineer Toolkit(SET)を使用して書かれています。

セキュリティ会社によると、ペイロードは変わらず、実装だけが変更されているという。 Windowsのペイロードはシェルコードの形式であり、シェルコードはSETモジュールshellcodeexec.binaryを使って実行されますが、同じ動作をします。追加のシェルコードを実行するためにリモートサーバに接続する代わりに(リバースシェルを開く)、OS Xバイナリは直ちにリバースシェルを開き、攻撃者は容易に活用できます。 Linuxバイナリは、別のサーバを使用していることを除いて同じままです。

悪意のあるChrome拡張機能により、Facebookアカウントを乗っ取る;マルウェアがFacebookユーザーにクレジットカード公開を騙す、最大150万のVisa、MasterCardクレジットカード番号を盗まれた、新しいFlashbackの亜種がMacに感染する; Wikipedia:ターゲットとするMac OS Xのトロイの木馬にはユーザーの操作は必要ありません。フラッシュバックトロイの木馬に感染したMacは60万人を超えています

マルウェア作者は、クロスプラットフォームプラグインを攻撃ベクターとして使用することを愛しています。これは、複数のオペレーティングシステムをターゲットとする可能性があります。 Javaが使用されていることは驚くべきではありません。プラットフォームには多数のセキュリティホールがあり、すべての主要なオペレーティングシステム上で動作します。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応