Исследователи безопасности в антивирусной фирме Intego обнаружили новое дикое вредоносное ПО для Mac, которое обманом заставляет пользователей обходить современные средства защиты приложений macOS.
В macOS Catalina Apple ввела новые требования к нотариальному заверению приложений. Функции, встроенные в Gatekeeper, не позволяют пользователям открывать непроверенные приложения, что требует от авторов вредоносных программ более творческого подхода к своей тактике.
Например, исследователи Intego обнаружили новое вредоносное ПО для троянских коней, активно распространяющееся в дикой природе через отравленные результаты поиска Google, которые обманом заставляют пользователей обходить эти средства защиты самостоятельно.
Вредонос поставляется в виде образа диска .dmg, маскируясь под установщик Adobe Flash. Но как только он смонтирован на компьютере пользователя, он отображает инструкции, помогающие пользователям в процессе вредоносной установки.
Обычная подсказка, которая появляется при нажатии непроверенной кнопки. Кредит: Intego
В тактике, описанной Intego как «новая», вредоносная программа просит пользователей щелкнуть правой кнопкой мыши и открыть вредоносную программу вместо двойного щелчка. В настройках macOS Catalina Gatekeeper отображается диалоговое окно с кнопкой «Открыть». Обычно при нажатии на непроверенный файл Apple не позволяет пользователям открывать их так удобно.
Щелчок правой кнопкой мыши и открытие файла позволяет пользователям легче запускать непроверенное программное обеспечение. Кредит: Intego
Как правило, macOS не рекомендует пользователям открывать непроверенные приложения, усложняя процесс. В частности, вынуждая пользователей войти в Системные настройки, чтобы переопределить Gatekeeper. Стратегия также спасает плохих актеров от регистрации учетной записи Apple Developer или захвата существующей.
Как только пользователи действительно открывают приложение установщика, оно запускает скрипт оболочки bash и извлекает защищенный паролем ZIP-файл, который содержит более традиционный пакет вредоносных приложений. Несмотря на то, что изначально он устанавливает легальную версию Flash, Intego отмечает, что его также можно использовать для загрузки «любого другого вредоносного или рекламного пакета Mac».
Интересно, что вредоносное ПО распространялось через результаты поиска Google, которые перенаправляли пользователей на вредоносные веб-страницы, утверждая, что Flash Player браузера устарел. Intego добавил, что до сих пор вредоносная программа была в состоянии избежать обнаружения большинством антивирусных программ.
Кто в опасности и как этого избежать
Поскольку вредоносное ПО активно распространяется через результаты поиска Google, риск компрометации немного выше. Intego отмечает, что появляется, когда пользователи ищут точные заголовки видео на YouTube.
Пользователи могут избежать этой вредоносной программы, просто нажав на ссылки, которым они абсолютно доверяют. Если какой-либо веб-сайт попросит вас загрузить что-то незапрошенное, убирайтесь оттуда.
Индикаторы компрометации могут включать следующие приложения: flashInstaller.dmv в разделе «Загрузки»; файл FlashInstaller.zip или файл с именем «Installer» в подпапке в личных / var / папках.
Intego отмечает, что с этой кампанией связано несколько доменов, включая youdontcare.com, display.monster, yougotupdated.com и installerapi.com. Исследователи считают, что любой трафик в эти домены или из них «должен рассматриваться как возможный признак заражения».