applelg
 最近、MacOSを狙ったマルウェアが多くなってきていますが、2018年最初のMacOSをターゲットにしたマルウェアが発見されました。

ransamu
 今回発見なったマルウェアはDNSChangerと言い、感染すると、感染したコンピュータ上のDNSサーバーの設定を変更し、悪意のあるサーバと切片機密情報を通じてルートインターネットトラフィックへの攻撃を許可することになります。

 感染されると、コンピュータ上のDNSサーバーのアドレスを82.163.143.135と82.163.142.137に黙って変更を行います。
そして、暗号化通信を傍受するために、新しいルート証明書をインストールさせます。

 このDNSを変更されることによって、攻撃者はおそらく資格情報を盗む、または広告をインストールするなどの行為や仮想通貨などのマイニングのプログラムスクリプトをコンピュータに埋め込む可能性があります。
 その他にもマルウェアの初期の機能であるスクリーンショットを撮る機能やシミュレートされたマウスイベントの生成、ファイルのダやアップロード、コマンドを実行なども行うことができるとのことです。

 今回のマルウェアはどのようにして感染するのか、また、現在どのように広がっているのかは全く不明でありますが、悪質な電子メールの添付ファイルや、Webベースの偽のセキュリティ警告/ポップアップ画面、または、ソーシャルエンジニアリング型攻撃のようなラメのメソッドを使用して感染されている可能性があります。また、実際にこのマルウェアに感染し、どんな攻撃を行っているかも今の時点では不明であるとのことです。

 マルウェアを発見するために、ウイルス対策スキャナのプログラムを使用しても、どのプログラムもマルウェアとは認識できなく検出されないということです。そのため、今回のマルウェアの根本的な駆除する方法が見つかっていないということになります。

 このマルウェアに感染されているかどうかを確認するには、ネットワークのDNS設定が82.163.143.135と82.163.142.137になっていれば感染されていることになります。それ以外のDNS設定である場合は現在のところ感染されていません。

 もし、感染されていることが分かった場合はサードパーティ製のツールのファイアウォールを使用し、この82.163.143.135と82.163.142.137へのアクセスを禁止する方法が唯一の方法となります。今一度設定の確認を行ってください。