今後拡散も？　Mac OS Xで動作するトロイの木馬「BlackHole RAT」、マカフィーが警鐘

　マカフィーは9日、Mac OS Xを狙ったバックドア型トロイの木馬「BlackHole RAT」に関する情報を公開した。

　BlackHole RATは、昨年12月に発見され、現時点ではまだそれほど拡散していない。しかし、海賊版ソフトウェアなどとともに、深く静かに拡散している可能性があるという。BlackHole RATは、サーバアプリケーションのアイコンを変更するよう勧めるソフトを装って侵入し、通信を開始する。BlackHole RATが侵入したMacでは、ポート7777などを通じて、さまざまなアクションが外部から実行できるようになる。ただし、被害者がMacを再起動すると、攻撃者はコントロールできなくなる。

　一方外部から被害者のMacを捜査するにはクライアントソフトが必要となる。クライアントを使い、トロイの木馬サーバ（BlackHole RATが導入されたMac）に接続した時点で、さまざまなアクションが実行可能となる。たとえば、現在ログインしているユーザー権限で、シェルを使用したり、デフォルトのブラウザでWebページを開いたり、ユーザーPCの画面に表示されるメッセージを送信したりといったことが可能だ。また管理者としてのログインをリクエストすることもできる。ただしここで表示されるのは、偽の管理者権限リクエストで、入力された名前とパスワードは攻撃者に送信される。Macユーザーは、このようなリクエストに慣れてるため、ユーザーは、気に留めることなく認証情報を入力するといったことが想定される。慎重に目を通す人なら、「Details（詳細）」オプションが動作しない、「you Administrator...」というスペルミスがある、「Cancel（中止）」ではなく「Abort（中断）」と表示されているといった、不審点に気づくかもしれない。

　ユーザーが名前とパスワードを入力すると、それらがクライアントに送信され、犯罪者がそれら情報を入手することとなる。なおBlackHole RATの最新バージョンでは、インテル搭載Mac OS XとPowerPCマシンが標的となっており、「Virus Configurator（ウイルスコンフィギュレーター）」と呼ぶアプリケーションが含まれている。このアプリケーションにより、ユーザーPCのスクリーンショット撮影、シャットダウン、メッセージ表示、管理者のユーザー名とパスワードの要求、コマンド実行なども可能になっているとのこと。コンフィギュレーターにはMac版、さらにはWindows版が存在する。しかもMacクライアントにはハードディスク消去機能が搭載されているという。

　BlackHole RATに感染した可能性のある場合、疑わしいプロセスを探してそれらを強制終了するために、ターミナルを立ち上げて、「ps aux」や「netstat -p tcp -an」を実行して、ポート内容を確認するのが一つの対応策となるとのこと。また、疑わしいエントリがないか、システム環境設定やアカウント、ログイン項目など、スタートアップ項目をチェックすることも重要だと、同社では推奨している。なお、マカフィー製品では、OSX/BlackRATとBlackRAT（Windows対象）は検出可能になっているとのこと。