Описание вредоносного ПО

Кампания по распространению фальшивых антивирусов для Mac

Злоумышленников, распространяющих фальшивые антивирусы, интересуют не только пользователи Windows. Теперь они нацелились и на пользователей Mac, которых они атакуют, используя проверенные временем технологии «черной» оптимизации, позволяющие искажать (poisoning) результаты поисковых запросов в популярных поисковых системах.

Изучая действия киберпреступников в связи с новостями о смерти Усамы бин Ладена, мы обнаружили, что с одних и те же доменов распространяются два фальшивых антивируса, созданных специально для Mac OSX – Best Mac Antivirus и MACDefender.

При поиске в интернете пользователь может быть перенаправлен на вредоносные домены, такие как ***-antivirus.cz.cc/fast-scan2/

Сначала вредоносные страницы проверяют User-agent браузера (браузер должен быть Safari), IP-адрес (на данный момент «обслуживаются» только американские домены) и домен-реферер (запрос должен исходить от Google или другой поисковой системы). Если запрос соответствует всем этим критериям, вредоносная страница демонстрирует результаты «проверки» компьютера фальшивым антивирусом:

И хотя пользователю предъявляется фальшивое окно антивирусной проверки с заголовком Windows, предлагаемый файл будет .mpkg – инсталлятор фальшивого антивируса:

Для установки приложения пользователь должен ввести пароль администратора (root).

Главное окно фальшивого антивируса выглядит так:

А вот окно с «результатами проверки»:

Эта вредоносная программа также предлагает пользователю бессрочное пользование фальшивым антивирусом за $79,95.

Такой вариант развития событий наш эксперт Курт Баумгартнер предсказывал еще в апреле:

«То, что с многочисленных субдоменов .co.cc распространяются фальшивые антивирусы, для вирусных аналитиков не новость. Тем не менее, из десятков тысяч обнаруженных за сутки страниц лже-антивирусов, размещенных в этом домене, одно имя показалось нам интересным, а именно — antispyware-macbook(dot)co(dot)cc. Такой маркетинговый выверт необычен даже для этих ребят. Означает ли это, что идет работа над еще одним зловредом для Apple? Возможно.»

Kaspersky Antivirus для Mac детектирует оба фальшивых антивируса.

Кампания по распространению фальшивых антивирусов для Mac

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике