実際のMacか仮想マシンかを特定し、実際のMacでのみにマルウェアをインストールする偽のFlash Playerインストーラーが発見されています。詳細は以下から。
EndgameのセキュリティエンジニアAmanda Rousseauさんが、偽のAdobe Flash Playerを装い、Macにマルウェアをダウンロードするインストーラーを新たに発見したとして、その情報をVirusTotalに公開しています。
Basic Properties
MD5 f2676edee34a7f7922b413dfb96507cd
SHA-1 c466c43a89d1d6c688fba871962da1e29ab70787
File Type Macintosh Disk ImagePlayer.dmg – VirusTotal
VirusTotalに登録された検体情報によると、このインストーラーは現在でも有効なAppleの開発者署名(Simmons Hunter : Q3XAZ247VQ)を持っているため、Gatekeeperによりブロックされることなく実行可能となっているようで、既にAvastやAVG, Sophos AVなど5つのウイルス検索エンジンが検出に対応したようですが、
Malwarebytes社のThomas ReedさんやCybereason社のAmit Serperさんなどのセキュリティ研究者によると、このインストーラーは実行された環境が実際のMacかそれとも仮想マシン上のMacかを検出し、実際のMac上でのみcurlコマンドで”bemacexpert[.]com”から別のプログラムをダウンロードするMPlayerXのインストーラーに採用されていた機能が導入されているようなので、怪しいFlash Playerのインストーラーを見つけた方は注意して下さい。