Кампания по распространению фальшивых антивирусов для Mac

Злоумышленников, распространяющих фальшивые антивирусы, интересуют не только пользователи Windows. Теперь они нацелились и на пользователей Mac, которых они атакуют, используя проверенные временем технологии «черной» оптимизации, позволяющие искажать (poisoning) результаты поисковых запросов в популярных поисковых системах.

Изучая действия киберпреступников в связи с новостями о смерти Усамы бин Ладена, мы обнаружили, что с одних и те же доменов распространяются два фальшивых антивируса, созданных специально для Mac OSX – Best Mac Antivirus и MACDefender.

При поиске в интернете пользователь может быть перенаправлен на вредоносные домены, такие как ***-antivirus.cz.cc/fast-scan2/

Сначала вредоносные страницы проверяют User-agent браузера (браузер должен быть Safari), IP-адрес (на данный момент «обслуживаются» только американские домены) и домен-реферер (запрос должен исходить от Google или другой поисковой системы). Если запрос соответствует всем этим критериям, вредоносная страница демонстрирует результаты «проверки» компьютера фальшивым антивирусом:

И хотя пользователю предъявляется фальшивое окно антивирусной проверки с заголовком Windows, предлагаемый файл будет .mpkg – инсталлятор фальшивого антивируса:

Для установки приложения пользователь должен ввести пароль администратора (root).

Главное окно фальшивого антивируса выглядит так:

А вот окно с «результатами проверки»:

Эта вредоносная программа также предлагает пользователю бессрочное пользование фальшивым антивирусом за $79,95.

Такой вариант развития событий наш эксперт Курт Баумгартнер предсказывал еще в апреле:

«То, что с многочисленных субдоменов .co.cc распространяются фальшивые антивирусы, для вирусных аналитиков не новость. Тем не менее, из десятков тысяч обнаруженных за сутки страниц лже-антивирусов, размещенных в этом домене, одно имя показалось нам интересным, а именно — antispyware-macbook(dot)co(dot)cc. Такой маркетинговый выверт необычен даже для этих ребят. Означает ли это, что идет работа над еще одним зловредом для Apple? Возможно.»

Kaspersky Antivirus для Mac детектирует оба фальшивых антивируса.