Нове шкідливе програмне забезпечення націлено на Mac та має нову тактику для  обходу антивірусів та віртуальних машин. – пише Threatpost.

Досі раніше не бачили подібних шкідливих програм для Mac, які отримали назву OSX/CrescentCore. Троян, помічений на різних веб-сайтах, вдає з себе програму встановлення Adobe Flash Player та скидає зловмисні програми і розширення веб-переглядача на системи жертв під час завантаження.

OSX/CrescentCore розповсюджується через різні веб-сайти, де він маскується як інсталятор Adobe Flash Player. Проте “інсталятор” – це фактично файл .dmg (образ диска Apple), який доставляє шкідливе програмне забезпечення.

“Один з варіантів OSX/CrescentCore розповсюджував потенційно небажані програми, зокрема шахрайське програмне забезпечення, як OSX/AMC (скорочення від” Advanced Mac Cleaner “),” повідомив Threatpost Джошуа Лонг з Intego, який відкрив шкідливе програмне забезпечення. – Інший варіант OSX/CrescentCore спробував встановити зловмисне розширення браузера Safari”.

Дослідниками було виявлено ще декілька різновидів шкідників, які поширювалися через численні сайти, деякі з яких виникали в результатах пошуку Google. Один такий сайт, який називається “GetComics”, нібито мав намір безкоштовно поширювати цифрові копії нових коміксів.

Шкідливе програмне забезпечення також розповсюджувалося за допомогою високорангових результатів пошуку Google, де спостерігалося перенаправлення користувачів на декілька сайтів.

“Ми насправді перебували в процесі створення назви для CrescentCore і шукали” CrescentCore “у лапках, а одна з посилань на першій сторінці результатів пошуку перенаправлялася на сторінку, яка, як виявилося, поширювала новий зразок шкідника CrescentCore”, – сказав Лонг.

Дослідник сказав, що найчастіше розповсюджувачі шкідливих програм знаходять уразливі блоги або інші сайти з високим рейтингом пошукової системи Google, а також додають механізм перенаправлення, який відскакує через декілька партнерських посилань – зрештою перенаправляючи користувачів на фальшиву сторінку Flash Player.

Після вивчення цих результатів пошуку, дослідники виявили, що сторінка (розміщена на будь-якому з великої кількості доменів) відображає спливаюче повідомлення про оновлення Adobe Flash Player. При натисканні цього клацання, це спливаюче вікно розповсюджувало або нову шкідливу програму OSX/CrescentCore, або раніше виявлену шкідливу програму OSX / Shlayer.

“На відміну від типового, щоденного, справжнього, фальшиве оновлення Flash Player, OSX/CrescentCore має деякі додаткові можливості, щоб антивірусному програмному забезпеченню було важче його виявити”— пишуть в аналітичній доповіді Intego, опублікованій минулого тижня.

Після завантаження шкідливого програмного забезпечення у OSX/CrescentCore розширюються додаткові можливості, що дозволяють виявляти дірки в захисті, включаючи можливість визначати, чи працює він у середовищі віртуальних машин (звичайний спосіб перевірки машин на наявність шкідливого програмного забезпечення) або якщо антивірусне програмне забезпечення присутнє на комп’ютері. Якщо таке буде виявлено, шкідник просто закриється.

Якщо не виявлено жодного антивірусу чи віртуальної машини, шкідливе програмне забезпечення встановить LaunchAgent, що допомагає досягти ще більше на інфікованій машині. LaunchAgent, який є папкою, що може бути встановлена ​​в папці бібліотеки Mac, яка визначає код, який слід запускати кожного разу, коли користувач входить до системи, зазвичай використовується зловмисним програмним забезпеченням для того, щоб його важче було виявити та видалити з MacOS.

Шкідливе програмне забезпечення підписується за допомогою декількох ідентифікаторів Apple Developer, зареєстрованих на особу з ім’ям Sanela Lovic; відомі легальні ідентифікатори до цих пір включають 5UA7HW48Y7 і D4AYX8GHJS, повідомляють дослідники.

Нагадаємо, корпорація Microsoft заборонила установку останнього оновлення Windows 10 (1903) на застарілі комп’ютери Apple. До списку входять всі Mac, які випустили до 2012 року.

Також китайські митники встановлюють шпигунську програму на смартфони туристів, які в’їжджають в країну через деякі пропускні пункти в Сіньцзяні. Програма сканує пристрій на предмет екстремістського контенту і передає інформацію владі.

Окрім цього, з настанням літнього сезону в Інтернеті зросла кількість привабливих пропозицій відпочинку за доступною ціною. Однак, насправді, за вигідними можливостями можуть стояти шахраї, які хочуть викрасти Ваші конфіденційні дані або кошти.

Автор: Максим Побокін