現在、Mac OSをターゲットにした偽セキュリティソフトが急増しています。偽セキュリティソフトは、偽の警告でユーザーに偽のウイルス対策やスパイウェア対策ソフトの購入を迫るトロイの木馬です。これまではWindows環境をターゲットにしていましたが、今年に入り、サイバー犯罪者はMac OSユーザーもターゲットにしているようです。実際に今月に入り、「MacDefender」というスケアウェアの拡散をMcAfee Labsでは確認しています。MacDefenderは刻々と変化しており、最近では「Mac Protector」と進化してMacユーザーを狙っています。
プラットフォームの中でも特にサイバー犯罪者の注目を浴びているのが、Mac OSです。多くの偽セキュリティソフトMac版は、SEOポイズニングとい手法を使用して、ユーザーに罠を仕掛けます。SEOポイズニングとは、検索エンジンで検索した際に偽セキュリティソフトへのリンクがトップに表示されるようにすることで、ユーザーにリンクをクリックさせ、ソフトをダウンロードさせる手法です。また、メールやTwitter、Facebook内に貼られた悪意のある短縮URLからも拡散される可能性があります。ユーザーは、80~100ドルを支払って偽のソフトを購入することでのみ、このトロイの木馬から解放されます。
以下が、最新の偽セキュリティソフトMac版「Mac Protector」です。
![](/img/2013/08/20/370080/l/cb544da1ff4ff698.jpg)
Webサイトからダウンロードされるこのトロイの木馬のパッケージには、「macprotector.pkg」と「macProtectorInstallerProgramPostflight.pkg」という2つの別のパッケージが含まれています。前者はアプリケーションが入っており、後者にはインストール完了後にMac Protectorを起動するbashスクリプトが入っています。この設定には、ルート特権が必要です。インストーラーやアプリケーションが管理者権限を要求してくるたびに、ユーザーはそれが正しい行動かどうかを考える必要があります。投下されるファイルは「MacProtector.app」で、このファイルは/Applicationsディレクトリにコピーされます。
Mac Protectorは非常に巧妙に作成されており、本物のセキュリティソフトとして見せかけるために、多数のリソースを使用しています。パッケージには、システムをスキャンしているように見せるための動画や、警告を出したりする画像と音声が大量に入っています。
![](/img/2011/05/24/298000/l/3a0b681f369c0f96.jpg)
ユーザーが誤ってMac Protectorをインストールしてしまうと、Mac Protectorはシステム上で偽のスキャンを行い、「進行中のプロセスでルートキットやスパイウェアが検出された」と表示します。
![](/img/2011/05/24/298001/l/8ab82ba49629861d.jpg)
しかし、これらの検出はまったくの偽物です。実際にMac Protectorが行うのは、Mac上で実行中の複数のプロセスを見つけ、その中から1つ選び、偽のアラートを作成します。
![](/img/2011/05/24/298002/l/d3388a0d0d1a6106.jpg)
さらに悪質なことに、Mac Protectorはブラウザ画面を開いてポルノサイトにアクセスし、本当に感染してしまったとユーザーに信じ込ませます。
![](/img/2011/05/24/298003/l/6171da0269fc0591.jpg)
その後Mac Protectorは、スキャン中やスキャン完了後にシステムのクリーンアップを何度も要求してくるため、最終的にユーザーはMac Protectorに登録せざるを得なくなります。Mac Protectorは、埋め込まれたWebページをロードして、ユーザーにクレジットカード情報を要求し、ライセンスの購入を迫ります。今日現在、このサイトはまだ健在ですので、注意してください。下記は、このページのリクエストです。
![](/img/2011/05/24/298004/l/f18db359ec4db468.jpg)
このマルウェアを除去するためには、アプリケーションフォルダー(Shift+Command+A)に進み、MacProtector.Appを削除してください。削除できない場合は、アクティビティモニターでMacProtectorプロセスを強制終了してから、もう一度MacProtector.Appを削除してみてください。なお、マカフィー製品は、この脅威を「OSX/FakeAlert-MacDefender」という名前で検出します。
※この記事は、McAfeeの運営しているブログから、注目のエントリーを編集部でピックアップし、転載しているものです。
![](/img/blank.gif)