AppleJeus

サイバー詐欺師は、OSXを実行しているデバイスを標的とする脅威の作成に関心を寄せています。サイバーセキュリティの専門家が発見したこのタイプの最新の脅威の1つは、AppleJeusと呼ばれます。 AppleJeus脅威は、いくつかの興味深い機能を備えたトロイの木馬バックドアです。 AppleJeusトロイの木馬の作者は、偽のデジタル資産通貨交換を使用してそれを広めています。このサービスを使用したいユーザーは、デジタル資産取引プラットフォームをダウンロードすることをお勧めします。ただし、ユーザーがファイルをダウンロードしてインストールするとすぐに、AppleJeusトロイの木馬バックドアがシステムに静かに植え付けられます。 Macコンピューターを標的とするこの脅威の亜種とは別に、au-thorsはWindowsのシステムも追跡するコピーを開発しました。この脅威のWindowsの亜種には、あまりにも印象的な品質はありませんが、OSXのコピーにはいくつかの奇妙な側面があり、調査する価値があります。

破損したファイルはGitHubでホストされています

ユーザーをだましてシステムを侵害するために、Ap-pleJeusトロイの木馬バックドアは、「Celas」または「JMT Trading」という名前の偽の取引所としてマスクされています。これらのサービスは両方とも構成されており、本物の会社や企業とはリンクしていません。 AppleJeusバックドアの作成者は、正当なプラットフォームGitHubで脅威の破損ファイルをホストすることを選択しました。ファイルの名前は「JMT-Trader.pkg」です。この脅威の作成者がGitHubのような評判の良いプラットフォームでこのファイルをホストしているという事実は、一部のユーザーを、怪しげなことは何もしておらず、サービスは本物だと思わせるかもしれません。

永続性を獲得

混乱したホストで持続性を得るために、Ap-pleJeusバックドアはインストールスクリプトを使用してファイルのコレクションを展開し、コンピューターが再起動されるたびに脅威が実行されることを確認する新しい起動デーモンを生成します。攻撃のこのステップを完了するには管理者権限が必要ですが、これは脅威の作成者にとっては問題ありません。 AppleJeus Tro-janバックドアは、ユーザーに管理者の資格情報を入力し、インストールに青信号を出すよう促すプロンプトを表示します。

脅威が実行できるコマンドの短いリストにもかかわらず、攻撃者が侵入先のマシンをほぼ完全に制御するには十分なコマンドです。 AppleJeusバックドアは次のことができます。

• 感染したホストにファイルをアップロードします。
• 感染したホストでファイルを実行します。
• 感染したホストでリモートコマンドを実行します。
• 自己終了します。

攻撃者が採用している複雑な伝播方法に基づいているだけで、サイバー犯罪の分野で非常に経験豊富であると想定するのは安全です。これにより、cy-bersecurity研究者は、この攻撃の背後にAPT（Advanced Persistent Threat）が存在する可能性があると信じるようになりました。 AppleJeusバックドアトロイの木馬を調査したところ、専門家はこの脅威と、悪名高いラザロと呼ばれる北朝鮮のATPに関連付けられている他のマルウェアの系統との密接な類似点を発見しました。 Lazarus APTによって再リリースされた脅威は非常に強力で脅威にさらされています。これが、システムを安全に保つ信頼できるマルウェア対策アプリケーションへの投資を検討する必要がある理由です。