Tag Archives: os x

Proof-of-concept threat is reminder OS X is not immune to crypto ransomware

Symantec analysis confirms that in the wrong hands, Mabouia ransomware could be used to attack Macs.Read More

Mac OS X ??Gatekeeper???????????????????

      No Comments on Mac OS X ??Gatekeeper???????????????????

セキュリティ研究者 Patrick Wardle 氏の詳しい説明によると、Apple の Mac OS X で使われている「Gatekeeper」には、攻撃者が未検証・未署名のコードを実行できる脆弱性が存在します。

Read More

Apple’s “Gatekeeper” in Mac OS X vulnerable to simple bypass

Researcher Patrick Wardle details security weakness in Apple’s “Gatekeeper” in Mac OS X that could allow attackers to run unverified, unsigned code.

Read More

Looking back at WWDC 2015

      No Comments on Looking back at WWDC 2015

Earlier this month, I was lucky enough to attend Apple’s Worldwide Developers Conference (WWDC) in San Francisco, where mobile developers from far and wide came together to learn about the future of iOS and OS X systems. Along with being the first time I was able to participate in this sought-after conference, it was also […]

OSX.Wirelurker: ???? Mac OS X ??????????????? Apple ????????????

WireLurker は、侵入先の iOS デバイスから情報を盗み出す可能性があります。

OSXWirelurker 3 edit.png

現在、シマンテックセキュリティレスポンスは OSX.Wirelurker について調査を進めています。WireLurker は、Mac OS X が実行されているコンピュータや iOS デバイスを狙う脅威であり、侵入先の iOS デバイスから情報を盗み出す可能性があります。

OSXWirelurker 1 edit.png

図. Maiyadi App Store

WireLurker は、中国のサードパーティのアプリストア Maiyadi App Store で発見されました。この脅威は海賊版の Mac OS X アプリケーションに仕込まれており、OS X が実行されているコンピュータに、こうした海賊版アプリケーションをダウンロードすると、USB ケーブルで接続されているすべての iOS デバイスに WireLurker が拡散します。そして、たとえ iOS デバイスがジェイルブレイクされていなくても、悪質なアプリケーションがインストールされてしまいます。

シマンテックの保護対策

シマンテック製品は、次の検出定義で WireLurker を検出します。

Mac ユーザーが OSX.Wirelurker などのマルウェアを防ぐためには、次のような方法があります。

  • サードパーティのアプリストアから海賊版の Mac OS X アプリケーションをダウンロードしない。
  • 素性の分からないコンピュータや信頼できないコンピュータに iOS デバイスを接続しない。
  • Mac OS X コンピュータにセキュリティソフトウェアをインストールする。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

OSX.Wirelurker: Avoid pirated Mac OS X applications, untrusted Apple computers

Wirelurker can be used to steal information from compromised iOS devices.

 
Symantec Security Response is currently investigating OSX.Wirelurker, a threat that targets Apple computers runn…

OSX.Wirelurker: Evita aplicaciones piratas de Mac OS X y computadoras Apple poco confiables

Wirelurker puede ser usado para robar información de computadoras comprometidas

wirelurker-connect2-re-edit_0.jpg

Symantec Security Response se encuentra investigando actualmente OSX.Wirelurker, una amenaza dirigida a computadoras Apple que corren bajo el sistema operativo Mac OS X y dispositivos Apple con sistema iOS. Wirelurker puede ser utilizado para robar información de los dispositivos iOS que han sido comprometidos.

OSXWirelurker 1 edit.png

Imagen. Tienda Maiyadi App Store

WireLurker fue descubierto en una tienda online china de un tercero, llamada Maiyadi App Store. La amenaza se “troyaniza” en aplicaciones piratas Mac OS X. Una vez que una aplicación pirata se descarga en una computadora que utiliza OS X, Wirelurker se extiende a cualquier dispositivo iOS conectado a dicha máquina mediante un cable USB. Wirelurker puede entonces instalar aplicaciones maliciosas, incluso si al dispositivo no se le ha realizado un jailbreak.

Protección de Symantec

Symantec detecta a Wirelurker como:

Aquí algunos pasos que los usuarios de Mac pueden llevar a cabo para evitar malware como OSX.Wirelurker y reducir los riesgos de infección:

  • No descargar aplicaciones piratas de Mac OS X especialmente de tiendas en línea de terceros.
  • Evitar conectar dispositivos iOS en computadoras desconocidas o poco confiables.
  • Instalar software de seguridad en computadoras Mac OS X, como el nuevo Norton Security que permite proteger en un solo producto laptops y dispositivos móviles.

25,000 Servidores Linux y Unix han sido comprometidos en la Operación Windigo

Recientemente, varios investigadores en seguridad presentaron un documento que describe una operación larga y compleja, denominada “Operación Windigo”. Desde 2011, año en que comenzó esta campaña, más de 25,000 servidores Linux y Unix han sido comprometidos para obtener las credenciales Secure Shell (SSH) con el fin de redireccionar a los usuarios web hacia contenido malicioso y para distribuir spam. Organizaciones muy conocidas, como cPanel y Fundación Linux han sido confirmadas como víctimas. Los sistemas operativos que han sido blanco de estos ataques incluyen a OS X, OpenBSD, FreeBSD, Microsoft Windows y varias distribuciones de Linux. El documento señala que Windigo es responsable de enviar diariamente un promedio de 35 millones de mensajes spam. Adicionalmente, más de 700 servidores Web han redireccionado a más de 500,000 visitantes diariamente hacia contenidos maliciosos.

Este documento enlista tres principales componentes maliciosos (detección de nombres de ESET):

• Linux/Ebury – un backdoor OpenSSH que se utiliza para controlar servidores y robar credenciales.

• Linux/Cdorked – un backdoor HTTP utilizado para redireccionar tráfico Web.

• Perl/Calfbot – un script Perl utilizado para enviar spam.

Las consistentes campañas de los agresores se han convertido en algo común. Con los recursos adecuados, motivación y deseo, quienes atacan pueden obtener recompensas importantes por estas acciones. Dichas actividades tienen el objetivo de atacar organizaciones específicas para identificar y filtrar información delicada, pero el objetivo nuevamente ha sido económico, a través de redirecciones Web, spam y descargas automáticas.

Protección de Symantec

Los clientes de Symantec están protegidos contra el malware utilizado en la Operación Windigo con las siguientes firmas:

AV

IPS

Más información sobre la investigación acerca de la Operación Windigo está disponible en el blog de ESET.

25,000 ??? Linux/UNIX ????????? Operation Windigo

「Operation Windigo」というコードネームの大規模かつ複雑な攻撃活動について報告したホワイトペーパーが、セキュリティ研究者によって公開されました。この攻撃が始まった 2011 年以来、25,000 台を超える Linux/UNIX サーバーが侵入を受けて、SSH(Secure Shell)資格情報を盗み出された結果、Web にアクセスしたユーザーが悪質なコンテンツにリダイレクトされ、スパム送信を送り付けられるようになりました。cPanel や Linux Foundation といった著名な組織も被害を受けていたことが確認されています。標的となるオペレーティングシステムは、OS X、OpenBSD、FreeBSD、Microsoft Windows、そして Linux の各種ディストリビューションです。発表されたホワイトペーパーによると、Windigo は毎日平均 3,500 万通のスパムメッセージを送信しています。このスパム活動のほかに、700 台以上の Web サーバーが現在、1 日当たりおよそ 50 万の訪問者を悪質なコンテンツにリダイレクトしています。

このホワイトペーパーでは、悪質なコンポーネントとして主に次の 3 つが挙げられています(名前は ESET 社の検出名)。

  • Linux/Ebury – サーバーを制御し資格情報を盗み出すために使われる OpenSSH バックドア
  • Linux/Cdorked – Web トラフィックのリダイレクトに使われる HTTP バックドア
  • Perl/Calfbot – スパムの送信に使われる Perl スクリプト

悪質な攻撃者による長期的な攻撃活動も、最近では一般的になってきました。適切なリソースを持ち、何らかの動機や欲求があれば、攻撃者は労力に見合った十分な見返りを得ることができます。特定の組織を狙って、重要な情報を選定して盗み出すことを目的とする攻撃もありますが、Operation Windigo の目的は、Web リダイレクト、スパム、ドライブバイダウンロードによる金銭的な利益です。
 

シマンテックの保護対策

シマンテック製品をお使いのお客様は、以下のシグネチャによって、Operation Windigo で使われているマルウェアから保護されています。

ウイルス対策

侵入防止システム

ESET 社によって確認された Operation Windigo の詳しい内容は、ESET 社のブログで公開されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

25,000 Linux and Unix Servers Compromised in Operation Windigo

Security researchers have released a paper documenting a large and complex operation, code named “Operation Windigo”. Since the campaign began in 2011, more than 25,000 Linux and Unix servers were compromised to steal Secure Shell (SSH) credentials, to redirect Web visitors to malicious content, and to send spam. Well-known organizations such as cPanel and Linux Foundation were confirmed victims. Targeted operating systems include OS X, OpenBSD, FreeBSD, Microsoft Windows, and various Linux distributions. The paper claims Windigo is responsible for sending an average of 35 million spam messages on a daily basis. This spam activity is in addition to more than 700 Web servers currently redirecting approximately 500,000 visitors per day to malicious content.

The paper lists three main malicious components (ESET detection names):

  • Linux/Ebury – an OpenSSH backdoor used to control servers and steal credentials
  • Linux/Cdorked – an HTTP backdoor used to redirect Web traffic
  • Perl/Calfbot – a Perl script used to send spam

Lengthy campaigns by malicious attackers have become commonplace. With the appropriate resources, motivation, and desire, attackers can obtain significant rewards for their efforts. While some campaigns focus on targeting specific organizations to identify and exfiltrate sensitive information, the goal here was financial gain, by way of Web redirects, spam, and drive-by-downloads.
 

Symantec protection

Symantec customers are protected against malware used in Operation Windigo with the following signatures:

AV

IPS

More details on ESET’s discovery of Operation Windigo is available on their blog.