Описание вредоносного ПО

Кампания по распространению фальшивых антивирусов для Mac

Злоумышленников, распространяющих фальшивые антивирусы, интересуют не только пользователи Windows. Теперь они нацелились и на пользователей Mac, которых они атакуют, используя проверенные временем технологии «черной» оптимизации, позволяющие искажать (poisoning) результаты поисковых запросов в популярных поисковых системах.

Изучая действия киберпреступников в связи с новостями о смерти Усамы бин Ладена, мы обнаружили, что с одних и те же доменов распространяются два фальшивых антивируса, созданных специально для Mac OSX – Best Mac Antivirus и MACDefender.

При поиске в интернете пользователь может быть перенаправлен на вредоносные домены, такие как ***-antivirus.cz.cc/fast-scan2/

Сначала вредоносные страницы проверяют User-agent браузера (браузер должен быть Safari), IP-адрес (на данный момент «обслуживаются» только американские домены) и домен-реферер (запрос должен исходить от Google или другой поисковой системы). Если запрос соответствует всем этим критериям, вредоносная страница демонстрирует результаты «проверки» компьютера фальшивым антивирусом:

И хотя пользователю предъявляется фальшивое окно антивирусной проверки с заголовком Windows, предлагаемый файл будет .mpkg – инсталлятор фальшивого антивируса:

Для установки приложения пользователь должен ввести пароль администратора (root).

Главное окно фальшивого антивируса выглядит так:

А вот окно с «результатами проверки»:

Эта вредоносная программа также предлагает пользователю бессрочное пользование фальшивым антивирусом за $79,95.

Такой вариант развития событий наш эксперт Курт Баумгартнер предсказывал еще в апреле:

«То, что с многочисленных субдоменов .co.cc распространяются фальшивые антивирусы, для вирусных аналитиков не новость. Тем не менее, из десятков тысяч обнаруженных за сутки страниц лже-антивирусов, размещенных в этом домене, одно имя показалось нам интересным, а именно — antispyware-macbook(dot)co(dot)cc. Такой маркетинговый выверт необычен даже для этих ребят. Означает ли это, что идет работа над еще одним зловредом для Apple? Возможно.»

Kaspersky Antivirus для Mac детектирует оба фальшивых антивируса.

Кампания по распространению фальшивых антивирусов для Mac

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике