3月9日、マカフィーは、Mac OS Xを狙ったバックドア型トロイの木馬「BlackHole RAT」についての情報を公開した。
マカフィーによる「2011年のサイバー脅威予測」
BlackHole RATは、昨年の12月に発見されたバックドア型トロイの木馬ウイルス。まだそれ程拡散していないが、海賊版ソフトウェアとともにばらまかれている可能性があるという。
アプリケーションそのものは、決して完成度の高いものではなく、極めて稚拙なアプリケーションであることから、作者のマルウェア開発経験は浅いと考えらる。ただし、ユーザーシステムにダメージを与えたり、機密情報を盗んだり、他のマルウェアの入口になったりする可能性もあるため、注意が必要だとした。
なお、BlackHole RATに感染した場合、攻撃者はトロイの木馬サーバーに接続した時点で、次のようなアクションを実行できてしまう。
- 現在ログインしているユーザー権限で、シェルを使用する
- デフォルトのブラウザでWebページを開く
- ユーザーPCの画面に表示されるメッセージを送信する
- ユーザーPCのデスクトップにテキストファイルを作成する
- シャットダウン、再起動、スリープを実行する
- 管理者としてのログインをリクエストする(ここで表示されるのは、偽の管理者権限リクエスト。入力された名前とパスワードが攻撃者に送信されてしまう)
また、BlackHoleの作者は、新しいトロイの木馬も作成している。最新バージョンのターゲットは、Mac OS XとPowerPCマシン。アルファ版リリースには、作者が「Virus Configurator」と呼ぶアプリケーションが含まれている。
このアプリケーションにより、ユーザーPCのスクリーンショット撮影、シャットダウン、メッセージ表示、管理者のユーザー名とパスワードの要求、コマンド実行などが可能になる。
同社では、BlackHole RATからMacを守る方法としては、感染した可能性のある場合、疑わしいプロセスを探してそれらを強制終了するために、ターミナルを立ち上げ「ps aux」「netstat -p tcp -an」を実行し、ポートを確認することだという。また、疑わしいエントリがないか、システム環境設定やアカウント、ログイン項目など、スタートアップ項目をチェックすることも必要だとした。
なお、マカフィー製品では、OSX/BlackRATとBlackRAT(Windows対象)をすでに検出できるとしている。
