二つ目のマルウェアは、暗号化されたウェブトラフィックに広告を挿入する機能を持っています。
このマルウェアは「OSX.SearchAwesome」という名前で検知されました。トレントファイルを通じてダウンロードされ、悪性インストールファイルの形態で広がっています。このインストールファイルはディスクイメージファイルで、「正常ファイル」のように見せかける為の偽造機能が1つも無い、という特徴があります。
このファイルを実行すると、分からないように複数のソースをインストールし、ユーザーに「証明書信頼設定(Certificate Trust Settings)」を変更出来る権限を要請します。SPIという要素を通じて、ネットワーク環境設定の内容を変える為です。
こうしてシステムにインストールされるのはアドウェアです。広告がずっと表示されるようになるプログラムというわけです。しかし普通のアドウェアのように、半強制的にずっと広告が表示される訳ではありません。ユーザーがオフにすることが出来ます。しかしながら、該当システムに再度ログインすると、また表示されるようになります。
追加で別のプログラムが追加でインストールされる事もあります。アドウェアが削除されたのかを監視する機能を持っており、OSX.SearchAwesomeが削除されると、このマルウェアと関連する他のソースも削除されます。
OSX.SearchAwesomeがインストールするものは、他にもあります。オープンソースプログラムであるmitmproxyも一緒にインストールします。mitmproxyはウェブトラフィックを盗み監視、ねつ造する機能を持っています。サイバー攻撃者達はこのプログラムを悪用し、暗号化されたトラフィックと、暗号化されていないトラフィック両方に対して中間者攻撃(man in the middle attack、MITM)を実行します。
ここまで攻撃が進行すると、サイバー攻撃者は証明書の信頼設定の操作や、mitmproxyを使用しトラフィックを変更する事も可能となります。また、被害を受けたシステムがmitmproxy証明書を信頼するように設定しておく為、OSX.SearchAwesomeはHTTPSトラフィックへ接近出来るようになります。これを活用し、OSX.SearchAwesomeは被害者が訪問した全てのウェブページへJavaScriptを挿入し、このスクリプトは悪性ウェブサイトからローディングされます。
現時点では、このアドウェアは特別これと言った攻撃的な特徴は無いように見えます。結局、広告が一時的に表示されるようにするだけです。しかし、外部からスクリプトがローディングされるという点に注意が必要です。サイバー攻撃者が今は広告だけを表示させていますが、このスクリプトを通じて広告以外の悪性コンテンツをローディングさせる恐れがあるからです。「潜在的な危険性」が非常に高い、と言えます。
Mac OSだから安心というのは間違いで、OSに関係なく、OSは常に最新版にアップデートする、ソフトウェアを最新版にする等の基本的なセキュリティ意識を持つことが重要です。
