Niechciana aplikacja atakuje użytkowników Mac OS X

20 maja, 2015

Niechciane i złośliwe programy, które mogą być instalowane w systemie w sposób niejawny lub wymuszające na użytkowniku załadowanie podejrzanych aplikacji, czy też wtyczki do przeglądarek instalowane bez wiedzy użytkownika, są przedmiotem analiz specjalistów bezpieczeństwa Doctor Web już od dłuższego czasu. Tego typu oprogramowanie rozpowszechniło się ostatnio dość szeroko, atakując przede wszystkim użytkowników Microsoft Windows. Jednak coraz więcej takich programów pojawia się również dla systemu Mac OS X. Jeden z nich został właśnie dodany do baz wirusów Dr.Web pod nazwą Adware.Mac.InstallCore.1.

Niechciana aplikacja Adware.Mac.InstallCore.1 jest instalatorem zawierającym trzy główne foldery (bin, MacOS i Resources). Pierwszy folder zawiera aplikację wykrywaną przez Antywirusa Dr.Web jako Tool.Mac.ExtInstaller. Oferuje ona możliwość instalowania wtyczek do przeglądarek, zmienia też stronę domową lub domyślną usługę wyszukiwania. Folder MacOS zawiera plik binarny instalatora; folder Resources zawiera główną część SDK (Software Development Kit) w formie skryptów JavaScript. Te skrypty mogą być (opcjonalnie) zaszyfrowane z użyciem algorytmu AES.

W szczególności, wśród plików SDK znajduje się plik konfiguracyjny config.js posiadający specjalną sekcję z informacjami dotyczącymi tego, jakie aplikacje powinny być pobrane. Ta sekcja posiada informacje o tym, ile aplikacji musi zostać zainstalowanych w systemie, obecność których programów i maszyn wirtualnych chroni przed instalacją dodatkowych programów i listę komponentów do zainstalowania. Plik konfiguracyjny zawarty w aplikacji nie jest jedynym plikiem wykorzystywanym przez program do jego działania. Inny plik jest otrzymywany ze zdalnego serwera, którego adres jest określony w lokalnym pliku konfiguracyjnym. Dane pobrane z sieci są zaszyfrowane z użyciem algorytmu XOR i skompresowane z wykorzystaniem GZIP. Zaszyfrowany plik zawiera różne dane i parametry językowe wymagane do poprawnego wyświetlania elementów interfejsu programu.

adware mac os 1

adware mac os 2

Plik scripts.js oferuje możliwość sprawdzania komputera pod kątem obecności maszyn wirtualnych i kilku już zainstalowanych aplikacji. Malware nie będzie domagać się od użytkownika instalacji dodatkowych programów, jeśli uruchomi się w środowisku VirtualBox, VMware Fusion czy Parallels lub nawet jeśli na „Maku” zostanie wykryty pakiet środowiska programistycznego XCode lub aplikacja Charles, służąca do debugowania programów. Istnieje też kilka innych przypadków, gdy niechciana aplikacja nie będzie prosić użytkownika o instalację dodatkowych programów. Mianowicie, jeśli w systemie zostanie wykryta jedna z następujących aplikacji antywirusowych: AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV lub F-Secure. Dodatkowo czarna lista Adware.Mac.InstallCore.1 zawiera kilka innych aplikacji.

Poniższa lista prezentuje kilka programów i narzędzi, które Adware.Mac.InstallCore.1 może zainstalować w zaatakowanym systemie:

  • Yahoo Search
  • MacKeeper (Program.Unwanted.MacKeeper)
  • ZipCloud
  • WalletBee
  • MacBooster 2
  • PremierOpinion (Mac.BackDoor.OpinionSpy)
  • RealCloud
  • MaxSecure
  • iBoostUp
  • ElmediaPlayer

Sygnatura Adware.Mac.InstallCore.1 została dodana do baz wirusów Dr.Web dla Mac OS X, zatem użytkownicy Dr.Web są już objęci niezawodną ochroną przed złośliwymi aktywnościami tego programu.

źródło: Doctor Web

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]