まずFireballの詳細は、以下の記事に任すとして、
http://www.itmedia.co.jp/news/articles/1706/23/news062.html
https://cybersec-tech.sakura.ne.jp/blog/menu/international/588/
http://www.itmedia.co.jp/enterprise/articles/1701/20/news064.html
全て読んだと想定して書いていますが、この一番大きな問題は、
APPLE製品の約3割の端末が、既に「踏み台になっている」可能性がある、
という問題があります。Appleは「Fruitfly」と名付け対策済みらしいですが…



このFireball、今までのマルウェアと大きく違うところが2点あります。
シンプルな2ファイルのみで外部の制御サーバと通信しています。
Macの「screencapture」コマンドもLinuxの「xwd」コマンドも
当然Windowsも使って画面をキャプチャするコードが含まれています。

現状として、これのみです、シンプルすぎて問題ないように見えますが、
onブラウザで感染するので、スマホ、タブレット、PC(WIN/MAC/LINUX)、
サーバ、スマートウォッチなど全てのport80番を利用できるブラウザで
感染可能性があります。重要書類を開いた状態をキャプチャ出来ます。



ここ最近のウィルス、スパイウエア、ランサムウエアの傾向として、
Ubuntu 16.04 on Wine + いろいろ…で見るとわかりやすいのですが、
兎に角、本当に相当多くの不正なdnsサーバにアクセスしようと試みます。

当然技術者ですからUbuntu 16.04には一番最初にgufwをinstallしてます。
gufwは、Linux Ubuntu純正のFirewall設定ツールで少し加工するだけで、
感染OSがどこにアクセスしようとするか、アクセスするファイルはどれか、
この2つを判定することが出来ます。firewallのinとoutを監視する訳です。

元々Solaris(UNIX)ユーザ(Solaris 2.5.1～10までおさえてます)でしたし、
bind使用者(DNSサバ管)ですのでサーバIPは特定できるので、
うちのwebサーバは怪しいbindサーバは全てブロックしています。

既存システムをすべて止めて、フェイク用Linuxサーバ、SAMBAサーバ、
クライアントを動作させると、感染したWindowsPCとUbuntu/CentOS-PCは、
決まりきったアクセスをしようとジタバタするのは分かっているんですが、
最近動作がおかしいと入ってきたiPhone5系、MBA系が変な動作をします。

ウィルス時代が過ぎ、スパイウエア時代からWIN/MAC/Linuxは感染します。
今はランダムですので当然ネットワーク接続の端末は問わず感染しますが、
「MACはウィルスには感染しない」という15年以上昔の神話が独り歩きして、
MACユーザの危機感が低いように思います。
Win/LinuxはFWとウィルス/スパイ/ランサム対策が基本中の基本なので。


APPLEは先日スパイウエアと見なされる25アプリを公表しました。

以上のアイコンに見覚えがあれば、直ちに削除してください。