headless 曰く、

偽のSymantecブログを通じ、Macのマルウェア「OSX.Proton」の亜種が配布されていたそうだ(Malwarebytes Labsの記事、 HackReadの記事、 本物のSymantec Blogsの記事)。

このブログは「symantecblog[dot]com」というドメインで運営されており、本物のSymantecブログのコンテンツをミラーリングするなど巧妙な作りになっていたという。Whois情報を見ると組織名はSymantec Corporation、住所はSymantec本社のものになっているが、レジストラントの連絡先電子メールアドレスはフリーメールのものが使われている。さらに、証明書はSymantec発行のものではなく、Comodoが発行したものを使用していたとのこと。

マルウェアが配布されていたのはCoinThiefマルウェアの亜種が新たに発見されたという偽ブログ記事だ。CoinThiefは2014年に発見されたBitcoin関連のログイン情報を盗み出すマルウェアだが、Malwarebytesによると新種が発見されたという情報はなく、記事そのものが虚偽の内容とみられる。

偽ブログ記事には「Symantec Malware Detector」という偽プログラムのリンクが用意されており、このプログラムをダウンロードしてインストールするとマルウェアに感染する仕組みになっていたそうだ。偽プログラムを実行するとSymantecロゴ入りのダイアログボックスが表示され、「Check」をクリックすると管理者アカウント名とパスワードの入力が求められる。

認証情報を入力するとスキャン中を示すプログレスバーが表示されるが、実際にはProtonマルウェアがインストールされ、管理者アカウント情報や個人を特定可能な情報のほか、KeychainファイルやマスワードマネージャーのVault、GPGパスワードなどを収集し始めるとのこと。

既に偽ブログのWebサイトはブロックされているが、該当記事へのリンクがTwitterを通じて拡散していたそうだ。一部は偽アカウントから投稿されていたが、本物とみられるアカウントからの投稿もみられたという。マルウェアが収集したパスワードを悪用して投稿された可能性も指摘されているが、偽ブログ記事を本物と信じたユーザーが投稿した可能性もある。