Mac から Gmera Trojan Mac ウイルスを削除するための 6 つの修正

研究者らは、Apple Mac を使用する仮想通貨ディーラーをターゲットとしたトロイの木馬「Gmera Trojan Mac」を発見しました。マルウェアは、同様のドメインとユーザー インターフェイスを持つ権威ある Web サイトを模倣してユーザーを感染させ、不注意なユーザーを騙してその Web サイトにアクセスさせます。

ESETによると、サイバーセキュリティ企業ESETの研究者らは、「ブラウザのCookie、暗号通貨ウォレット、スクリーンショット」を使用してデータを盗むマルウェアを発見したとのこと。

Mac 用の Gmera トロイの木馬とは何ですか?またどのように機能しますか?

GMERA は、Apple Mac ユーザー向けの合法的な取引ツールである Stockfolio を装った悪意のあるマルウェアです。調査によると、このマルウェアには 2 種類あり、そのうちの 1 つはトロイの木馬であると特定されています。前者は MacOS.GMERA.A として知られ、後者は Trojan として知られています。macOS.GMERA.B.

サイバー犯罪者は、GMERA を使用してデータを盗み、管理する Web サイトにアップロードすることがよくあります。この感染による損害を避けるために、GMERA をできるだけ早く削除します。

種類

トロイの木馬.MacOS.MERA.A

Gmer Mac トロイの木馬は架空の人物です。macOS.メラ。このサンプルでは、​​ユーザー名、IP アドレス、アプリケーション フォルダー内のアプリケーション、/Documents および /Desktop ディレクトリ内のファイルなどのユーザー情報が収集されます。

• また、OS のインストール日、グラフィックス、表示情報、ワイヤレス情報、スクリーンショットもキャプチャします。
• サイバー犯罪者が運営するサーバーに情報を送信します。
• 盗まれたデータ/詳細には、さまざまな方法でお金を稼ぐために使用される機密情報が含まれている可能性があります。
• 個人情報を取得すると、プライバシー侵害、個人情報の盗難、経済的損失、その他の問題が発生する可能性があります。

トロイの木馬.MacOS.GMERA.B

Trojan.MacOS.GMERA.B (Gmera Trojan Mac) 亜種は、被害者のユーザー名や IP アドレス、その他の多数のファイルなどの情報を収集します。

• 1 つは「永続化メカニズム」として機能し、システムの再起動、リブート、ログアウトなどの後でも GMERA が実行を継続できるようにします。
• GMERA のようなソフトウェアは、起動すると実際の Stockfolio 取引アプリの背後に隠れてバックグラウンドで実行されます。
• 感染を取り除くために直ちに行動を起こしてください。

働く

Gmera Trojan Macオペレーターは、正規の Web サイトを模倣してマルウェアを配布します。これらの Web サイトは驚くほど同一で、素人目には本物のように見えます。

研究者らはマルウェアがどこに拡散しているのか全く分からなかったが、カッタナ氏は、悪意のあるなりすましサービスがユーザーをトロイの木馬のダウンロードに誘導していることについてユーザーに警告した。

しかし、研究者らはこのキャンペーンを GMERA マルウェアと結び付けることができませんでした。研究者らによると、この感染はトロイの木馬によっても広がったという。

症状

トロイの木馬は被害者のコンピュータに侵入し、気づかれずに侵入するように設計されているため、感染した PC には明らかな兆候がありません。感染した電子メールの添付ファイル、詐欺的な Web マーケティング、ソーシャル エンジニアリング、およびソフトウェア ハッキングは、正規の Stockfolio アプリケーションの悪意のある亜種です。

感染源

最新の攻撃では、GMERA ウイルスの開発者が本物のビットコイン取引アプリケーション Kattana の悪意のあるバージョンを使用したことが判明しました。

• GMERA マルウェアの作成者は、現在の Kattana をマルウェアに変えました。
• また、Apple Mac ユーザー向けに仮想通貨取引マルウェアの Web ページも開発しました。
• おそらく、オペレーターは対象となる被害者に個人的に連絡を取り、マルウェアをインストールするよう説得したのでしょう。
• ブラウザの Cookie、閲覧履歴、仮想通貨ウォレットのパスワードがリバース シェルを使用して盗まれました。

Gmera Mac トロイの木馬を削除する手順

1. Gmera Mac トロイの木馬に関連するファイルとフォルダーを削除します。

• メニューバーの「Finder」アイコンをクリックします。「移動」を選択し、「フォルダに移動…」を選択します。
• /Library/LaunchAgents フォルダーで、マルウェアによって作成された疑わしいファイルや信頼できないファイルを探します。

• Launch Agent フォルダー内で最近ダウンロードしたファイルをすべて見つけて、ゴミ箱フォルダーに移動します。

• 「myppes.download.plist」、「mykotlerino.Itvbit.plist」、「installmac.AppRemoval.plist」、「kuklorest.update.plist」などは、ブラウザ ハイジャッカーやアドウェアによって作成されたファイルの例です。
• 「/Library/Application」サポート フォルダー内のアドウェア ファイルの検出と削除。
• 「フォルダーへ移動…」パネルに「/Library/Application Support」と入力します。
• Application Support フォルダー内に最近追加された不審なディレクトリを探します。
• 「NicePlayer」や「MPlayerX」などのファイルを見つけた場合は、それらをゴミ箱フォルダーに移動します。
• /Library/LaunchAgent フォルダーでマルウェアによって作成されたファイルを探します。
• 疑わしいファイルを見つけた場合は、それらを見つけてゴミ箱フォルダーに移動する必要があります。
• /Library/LaunchDaemons フォルダーでマルウェアによって作成されたファイルを探します。
• 「フォルダーを参照」フィールドに「/Library/LaunchDaemons」と入力します。
• 新しく開いた「LaunchDaemons」フォルダーで最近追加された不審なファイルを検索し、それらを「ゴミ箱」フォルダーに移動します。

2. インターネットブラウザからGmeraを削除します

疑わしい悪意のある拡張機能を Safari から削除します。

• 「メニューバー」から「Safari」ブラウザを開きます。ドロップダウンメニューから「Safari」を選択し、「設定」を選択します。
• 開いた設定ウィンドウで最近インストールした「拡張機能」を選択します。
• これらの拡張機能はすべて認識されるはずなので、その横にある「アンインストール」ボタンをクリックして削除する必要があります。それでも不明な場合は、ブラウザが正常に動作するために必要な拡張機能はないため、Safari ブラウザからすべての拡張機能を削除できます。
• 不要な Web ページのリダイレクトや煩わしい広告を引き続き受信する場合は、Safari ブラウザの設定をリセットできます。

サファリをリセット

• Safariメニューから「環境設定」を選択します。
• 「拡張機能」タブで拡張機能を「オフ」に設定します。この設定により、Safari にインストールされている拡張機能が無効になります。
• 「設定」メニューから「一般」タブを選択します。デフォルトのホームページを目的の URL に置き換えます。
• 検索エンジンのデフォルトのプロバイダー設定を調べます。「設定」フィールドの「検索」タブを選択し、「Google」などの目的の検索エンジンを選択します。

Safariブラウザのキャッシュをクリアする

• 「詳細」タブを選択し、「設定」ボックスの「メニューバーに開発メニューを表示」を選択します。
• 「開発」メニューから「キャッシュのクリア」を選択します。
• 閲覧履歴とウェブサイトのデータを消去します。「Safari」メニューから「履歴とWebサイトデータを消去」を選択します。
• その後、「すべての履歴」を選択し、「履歴を消去」を選択します。

Mozilla Firefox: 不要な悪意のあるプラグインの削除

• Gmera アドオンは Mozilla Firefox から削除する必要があります。
• Mozilla Firefox Web ブラウザを起動します。画面右上の「メニューを開く」ボタンをクリックします。
• 開いたメニューから「アドオン」を選択します。
• ドロップダウン メニューから「拡張機能」を選択すると、最近インストールされたすべてのアドオンのリストが表示されます。
• 疑わしいアドオンをすべて選択し、その横にある「アンインストール」ボタンをクリックして削除します。

Mozilla Firefox の設定をリセットする

Mozilla Firefoxブラウザを「リロード」したい場合は、以下の手順に従ってください。

• Firefox Mozilla ブラウザを開き、画面の左上隅にある [Firefox] ボタンをクリックします。
• 新しいメニューの「ヘルプ」サブメニューから「トラブルシューティング情報」を選択します。
• 「トラブルシューティング情報」画面で「Firefox をリセット」ボタンをクリックします。
• 「Firefox をリセット」オプションを選択すると、Mozilla Firefox 設定を工場出荷時のデフォルトにリセットすることを確認します。ブラウザが再起動され、設定が工場出荷時の設定にリセットされます。

Google Chrome: 不要な悪意のある拡張機能を削除する

• Chromeブラウザを開き、ドロップダウンメニューから「Chromeメニュー」を選択します。メニューから「その他のツール」を選択し、「拡張機能」を選択します。
• [拡張機能] タブで、最近インストールしたすべてのアドオンと拡張機能を見つけます。
• ドロップダウンメニューから「カート」を選択します。サードパーティのプラグインは、ブラウザのスムーズな動作に必須ではありません。

Google Chromeをリセットする

• ブラウザを開き、ウィンドウの右上隅にある三本線のバーをクリックします。
• 開いたウィンドウの下部にある「詳細設定を表示」を選択します。
• 作成したウィンドウの一番下までスクロールし、「ブラウザ設定のリセット」を選択します。
• 開いた「ブラウザ設定のリセット」ウィンドウで、「リセット」ボタンをクリックします。

3. 感染ファイルを削除または削除します

このトロイの木馬は、ダウンロードしたファイル、または信頼できないソースからインストールしたアプリケーションや拡張機能を介して侵入しました。単純な削除で問題を解決できる可能性は十分にありますが、マルウェアを駆除することがいかに難しいかを考えると、それは当てはまりません。

Mac で LaunchPad を使用する

• Launchpad は、Dock 内でクリックするか、アプリケーション フォルダーから開くことで開くことができます。
• トラックパッドを親指と 3 本の指でつまむこともできます。
• アプリケーションが Launchpad に文書化されていない場合は、検索バーにその名前を入力します。2 本の指でトラックパッドを右または左にスワイプして、次または前のページを開きます。
• Option キーを押しながら、任意のアプリを小刻みに動き始めるまで押し続けます。
• アンインストールするアプリの横にある [アンインストール] ボタンをクリックし、[アンインストール] をクリックして確認します。
• ソフトウェアはすぐに削除されます。表示されていないアプリは、App Store からダウンロードされていないか、Mac に必要です。
• App Store から入手したものではないアプリを削除するには、App Store の代わりに Finder を使用します。

アプリケーションを削除するには、Finder を使用します。

• Finder でアプリを見つけます。アプリケーションの大部分は「アプリケーション」フォルダにあり、Finder ウィンドウのサイドバーから「アプリケーション」を選択することでアクセスできます。
• Spotlight を使用してソフトウェアを検索することもできます。コマンド () キーを押したまま、Spotlight でダブルクリックします。
• アプリを選択し、[ファイル] > [ゴミ箱に移動] を使用してゴミ箱にドラッグします。
• ごみ箱は macOS Dock に表示されます。
• ユーザー名とパスワードが必要な場合は、Mac で管理者のアカウント名とパスワードを使用します。これはおそらく、Mac へのログインに使用するユーザー名とパスワードです。
• ソフトウェアを削除するには、[Finder] > [ゴミ箱を空にする] に移動します。

4. Time Machine バックアップをダウンロードする

Mac にトロイの木馬が存在するかどうかを確認し、それを手動で削除するのは、おそらく困難な作業となるでしょう。感染したファイルをインストールする前に、Time Machine のバックアップを単純に復元する方が簡単な場合があります。

• Time Machine バックアップから Mac を復元するには、次の手順に従います。
• メニュー バーから Time Machine アイコンを選択します。
• 「タイムマシン」オプションを入力します。
• Finder ウィンドウのスタックが表示され、それぞれが異なるバックアップを表します。
• 復元したい内容を選択後、「復元」ボタンをクリックしてください。

5. ウイルス対策ソフトウェアを使用する

Mac がマルウェアに感染している疑いがある場合は、ウイルス スキャンを実行する必要があります。これには、トロイの木馬に感染している疑いがある場合も含まれます。ウイルス対策ソフトウェアはファイルに危険なコードがないかチェックします。

ブラウザーのアドオンを探します。

ブラウザ ハイジャッカーと広告拡張機能がないかコンピュータをスキャンします。

• メニューバーから「Safari」>「環境設定」を選択します。既存のホームページ URL を確認し、必要な変更を加えます。
• 次に、「拡張機能」タブに移動し、見慣れないものをすべて削除します。これらはあなたを監視し、個人情報を保存し、悪意のある Web サイトにリダイレクトする可能性があります。

疑わしいアプリをすべてデバイスから削除します。

• 見慣れないソフトウェアがインストールされていないか確認してください。
• Finder で「移動」>「アプリケーション」を選択するか、Shift + Command + A を押して、アプリケーション フォルダーに移動します。
• リストをスクロールして、認識されないアプリをすべてリストから削除します。
• 次に、ゴミ箱を空にします。

疑わしいログイン項目をすべてシステムから削除します。

• 「Mac マルウェアの削除」目標の一環として、動作がおかしいログイン項目をすべて削除します。
• 中には馴染みのないものや、オンにしたことを覚えていないものもあります。
• 起動時に特定の項目が実行されないようにするには、次の手順に従います。 [アップル メニュー] > [システム環境設定] > [ユーザーとグループ] > [ログイン項目] のオプションのチェックを外します。

Apple macOS では、新しいプロファイルを作成します。

Mac ウイルスがデバイスではなくユーザーをターゲットにしている場合は、macOS で新しいプロファイルを作成することで状況を解決できます。新しいユーザー プロファイルを作成するには、次の手順に従います。

• Apple メニューから [システム環境設定] > [ユーザーとグループ] に移動します。
• 変更を加えるには、ページのロックを解除します。
• + ボタンをクリックして、追加する人のタイプを選択します (管理者または標準)。
• 新しいユーザー名とパスワードを入力し、「ユーザーの作成」をクリックして新しいユーザーを作成します。

6. Mac を出荷時設定にリセットする

これは最後の手段ですが、Mac からトロイの木馬を除去するのに他に方法がない場合は、出荷時設定にリセットすることもできます。これにより、Mac が工場出荷時の設定にリセットされ、すべてのデータを含むすべてが Mac から削除されるため、事前にバックアップを作成してください。開始するには、リカバリモードに入る必要があります。

M1 Mac でリカバリモードに入る方法は次のとおりです。

• Mac の電源を切ります。

• 次に、電源ボタンを数秒間押し続けます。
• 「起動オプションを読み込み中」が表示されるまでボタンを押し続けます。
• Enter キーを押して続行します。
• プロンプトが表示されたら、管理者パスワードを入力します。
• 次に、ディスクユーティリティに移動し、「消去」オプションを探して、Mac からすべてのファイルを削除します。

結論

Gmera は Kassi Trojan としても知られており、Mac ユーザーにとって本物の便利な取引ツールである Stockfolio を装った危険なコンピュータ感染症です。「Gmera Trojan Mac」を削除し、コンピュータからマルウェアを駆除するには、上記の手順をすべて使用してください。

よくある質問

トロイの木馬は Mac に影響を与える可能性がありますか?

お使いの Mac がトロイの木馬に感染している場合、このプログラムは他のウイルスやスパイウェアのインストールからハッカーによるシステムの完全な遠隔制御まで、あらゆることを行う可能性があります。トロイの木馬は、あなたとあなたのマシンの両方にとって恐ろしいニュースです。

あなたの Mac がトロイの木馬ウイルスに感染しているかどうかを確認するにはどうすればよいですか?

Mac が奇妙な動作をし、予期しない動作をし始めます。何かがすべての CPU リソースを使用しているかのように、Mac の動作が遅くなります。PC に広告が表示され始めます。

マルウェアはどのようにして隠蔽できるのでしょうか?

マルウェアは、ポリモーフィズム、暗号化、およびインプロセス実行を使用して、Advanced Persistent Threat (APT) のままになる可能性があります。ポリモーフィック コードは再生されるたびに変化します。新しいデバイスごとに暗号化/復号化キーを変更することで、暗号化によってこれらのアクティビティが隠蔽され、常に目に見えるようになります。

トロイの木馬とは何ですか? ウイルスまたはマルウェアですか?

トロイの木馬は、実際のプログラムを装ってコンピュータにダウンロードされるマルウェアの一種です。攻撃者は多くの場合、プログラムを使用してシステムにアクセスするために、ソーシャル エンジニアリングを使用して正規のアプリケーションに悪意のあるコードを挿入します。