Niebezpieczny program reklamowy dystrybuuje trojany dla Mac OS X

23 września, 2015

W ostatnim miesiącu Doctor Web publikował informacje na temat trojanów instalujących oprogramowanie reklamowe i inne niechciane programy na komputerach z systemem Windows. Jednak w kręgu zainteresowania cyberprzestępców pozostają również i inne systemy operacyjne — ostatnio analitycy bezpieczeństwa Doctor Web przebadali próbkę adware dla Mac OS X nazwaną Adware.Mac.WeDownload.1.

Próbka Adware.Mac.WeDownload.1 przebadana w laboratorium antywirusowym Doctor Web, ukrywa się pod pakietem dystrybucyjnym Adobe Flash Player’a zawierającego następujący podpis cyfrowy: „Developer ID Application: Simon Max (GW6F4C87KX)”. Ten downloader jest dystrybuowany poprzez program partnerski zorientowany na generowanie dochodów za pobieranie plików.

wedownload1

Uruchomiony Adware.Mac.WeDownload.1 zachęca użytkownika do udzielenia mu uprawnień administratora i wysyła kolejne żądania do trzech serwerów kontrolno-zarządzających, których  adresy są zapisane w jego kodzie, aby uzyskać dane dla głównego okna aplikacji. Jeśli żaden z serwerów nie odpowie na wysłane żądanie, downloader zakończy swoją aktywność.

Jeśli Adware.Mac.WeDownload.1 uzyska odpowiedź, wysyła do serwera kontrolno-zarządzającego żądanie POST zawierające dane konfiguracyjne downloadera w formacie JSON (JavaScript Object Notation). Jako odpowiedź, program otrzymuje stronę HTML z zawartością głównego okna. Downloader dodaje bieżący znacznik czasu i podpis cyfrowy, wygenerowany na podstawie specjalnego algorytmu, do wszystkich przyszłych żądań GET i POST.

Gdy stosowne żądanie zostanie wysłane, Adware.Mac.WeDownload.1 otrzymuje listę aplikacji, które będą przedstawione użytkownikowi z prośbą o instalację. Lista zawiera nie tylko niechciane programy, ale również złośliwe oprogramowanie, włączając Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, różne trojany należące do rodziny Trojan.Conduit i kilka innych niebezpiecznych aplikacji.

wedownload 2

Całkowita liczba i rodzaje programów zależą od lokalizacji geograficznej ofiary. Jeśli lista aplikacji jest pusta, użytkownik nie otrzyma propozycji instalacji żadnych programów, oprócz tych, które sam oryginalnie wybrał do instalacji.

Analitycy bezpieczeństwa Doctor Web przypominają użytkownikom komputerów Apple o zachowaniu ostrożności i o pobieraniu aplikacji tylko z pewnych źródeł. Sygnatura Adware.Mac.WeDownload.1 została dodana do baz wirusów Dr.Web dla Mac OS X, dzięki czemu ten downloader nie stanowi zagrożenia dla użytkowników Dr.Web.

Więcej na temat tego downloadera – http://vms.drweb-av.pl/virus/?i=7558347

źródło: Doctor Web

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]